COST02-BP05 Mengimplementasikan kontrol biaya

Implementasikan kontrol berdasarkan kebijakan organisasi serta grup dan peran yang ditetapkan Ini semua memastikan bahwa biaya hanya dikenakan sesuai yang ditetapkan oleh persyaratan organisasi: misalnya, kontrol akses ke wilayah atau tipe sumber daya dengan kebijakan AWS Identity and Access Management (IAM).

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Rendah

Panduan implementasi

Langkah pertama yang umum dalam mengimplementasikan kontrol biaya adalah mengatur notifikasi ketika peristiwa biaya atau penggunaan terjadi di luar kebijakan organisasi. Ini memungkinkan Anda bertindak cepat dan memverifikasi apakah diperlukan tindakan perbaikan, tanpa membatasi atau mengganggu beban kerja atau aktivitas baru. Setelah Anda mengetahui batas beban kerja dan lingkungan, Anda dapat menegakkan tata kelola. Di AWS, notifikasi dilakukan dengan AWS Budgets, yang memungkinkan Anda untuk menetapkan anggaran bulanan untuk biaya, penggunaan, dan diskon komitmen (Savings Plans dan Instans Terpesan) AWS Anda. Anda dapat membuat anggaran pada tingkat biaya agregat (misalnya semua biaya), atau pada tingkat yang lebih mendetail yakni hanya menyertakan dimensi tertentu seperti akun tertaut, layanan, tag, atau Zona Ketersediaan.

Sebagai langkah kedua, Anda dapat menegakkan kebijakan tata kelola di AWS melalui AWS Identity and Access Management (IAM), dan AWS Organizations Service Control Policies (SCP). IAM memungkinkan Anda mengelola akses ke sumber daya dan layanan AWS dengan aman. Menggunakan IAM, Anda dapat mengontrol siapa yang dapat membuat dan mengelola sumber daya AWS, tipe sumber daya yang dapat dibuat, dan di mana sumber daya tersebut dapat dibuat. Hal ini meminimalkan pembuatan sumber daya yang tidak diperlukan. Gunakan peran dan grup yang dibuat sebelumnya, dan tetapkan kebijakan IAM untuk mengatur penggunaan yang tepat. SCP menawarkan kontrol terpusat pada izin maksimum yang tersedia untuk semua akun di organisasi Anda, memastikan akun-akun Anda tetap berada di dalam pedoman kontrol akses Anda. SCP hanya tersedia di organisasi yang mengaktifkan semua fitur, dan Anda dapat mengonfigurasi SCP agar menolak atau mengizinkan tindakan untuk akun anggota secara default. Lihat Laporan resmi Pilar Keamanan Well-Architected untuk detail selengkapnya tentang implementasi manajemen akses.

Tata kelola juga dapat diimplementasikan melalui manajemen Kuota Layanan. Dengan memastikan bahwa Kuota Layanan diatur dengan biaya overhead minimum dan dipelihara secara akurat, Anda dapat meminimalkan pembuatan sumber daya di luar kebutuhan organisasi. Untuk meraih hal ini, Anda harus memahami seberapa cepat kebutuhan Anda dapat berubah, memahami proyek yang sedang berlangsung (baik pembuatan maupun penonaktifan sumber daya), dan mempertimbangkan seberapa cepat perubahan kuota dapat diimplementasikan. Kuota Layanan dapat digunakan untuk meningkatkan kuota Anda saat diperlukan.

Langkah implementasi

Implementasikan notifikasi pengeluaran: Menggunakan kebijakan organisasi yang Anda tetapkan, buat anggaran AWS untuk menyediakan notifikasi saat pengeluaran berada di luar kebijakan Anda. Konfigurasi beberapa anggaran biaya, satu untuk masing-masing akun, yang memberi tahu Anda tentang keseluruhan pengeluaran akun. Lalu konfigurasi anggaran biaya tambahan di dalam masing-masing akun untuk unit yang lebih kecil di dalam akun. Unit-unit tersebut berbeda-beda tergantung struktur akun Anda. Beberapa contohnya adalah Wilayah AWS, beban kerja (menggunakan tag), atau layanan AWS. Pastikan Anda mengonfigurasi daftar distribusi email sebagai penerima notifikasi, bukan akun email individu. Anda dapat mengonfigurasi anggaran riil ketika jumlah terlampaui, atau gunakan prakiraan anggaran untuk memberitahukan prakiraan penggunaan.
Implementasikan kontrol penggunaan: Menggunakan kebijakan organisasi yang Anda tetapkan, implementasikan kebijakan dan peran IAM untuk menentukan tindakan apa yang dapat dilakukan oleh pengguna dan tindakan yang tidak dapat mereka lakukan. Beberapa kebijakan organisasi dapat disertakan di satu kebijakan AWS. Seperti saat Anda menetapkan kebijakan, mulailah secara umum lalu terapkan kontrol secara lebih mengerucut di masing-masing langkah. Batas layanan juga merupakan kontrol penggunaan yang efektif. Implementasikan batas layanan yang tepat pada semua akun Anda.

Sumber daya

Dokumen terkait:

Contoh terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

COST02-BP04 Mengimplementasikan grup dan peran

COST02-BP06 Melacak siklus hidup proyek