COST02-BP05 Implementar controles de custos
Implemente controles baseados nas políticas da organização e nas funções e grupos definidos. Isso garante que os custos sejam gerados somente conforme definido pelos requisitos da organização, como controle do acesso a regiões ou tipos de recursos.
Nível de exposição a riscos quando esta prática recomendada não é estabelecida: Médio
Orientações para a implementação
Uma primeira etapa comum na implementação de controles de custo é configurar notificações quando eventos de custo ou de uso ocorrerem fora das políticas. É possível tomar medidas rápidas e verificar se é necessária uma ação corretiva, sem restringir ou afetar negativamente workloads ou novas atividades. Depois de conhecer os limites de workload e do ambiente, você pode aplicar a governança. O AWS Budgets
Depois de configurar seus limites de orçamento com o AWS Budgets, use AWS Cost Anomaly Detection
Aplique políticas de governança na AWS por meio de AWS Identity and Access Management
A governança também pode ser implementada por meio do gerenciamento do Service Quotas da AWS. Ao garantir que o Service Quotas esteja configurado com o mínimo de sobrecarga e mantido com precisão, você pode minimizar a criação de recursos fora dos requisitos da sua organização. Para conseguir isso, você deve entender a rapidez com que seus requisitos podem mudar, compreender projetos em andamento (criação e desativação de recursos) e considerar a rapidez com que as alterações de cota podem ser implementadas. O Service Quotas pode ser usado para aumentar suas cotas quando necessário.
Etapas da implementação
-
Implementar notificações sobre gastos: Usando suas políticas de organização definidas, crie AWS Budgets
para ser notificado quando os gastos estiverem fora de suas políticas. Configure vários orçamentos de custos, um para cada conta, que o notifica sobre os gastos gerais da conta. Configure orçamentos de custos adicionais dentro de cada conta para unidades menores dentro da conta. Essas unidades variam de acordo com a estrutura da sua conta. Alguns exemplos comuns são Regiões da AWS, workloads (usando tags) ou serviços da AWS. Configure uma lista de distribuição de e-mails como o destinatário das notificações, e não uma conta de e-mail de uma pessoa. Você pode configurar um orçamento real para quando um valor for ultrapassado ou usar um orçamento previsto para notificar sobre o uso previsto. Você também pode pré-configurar ações de orçamento do AWS que podem aplicar políticas específicas de IAM ou SCP ou interromper Amazon EC2 de destino ou instâncias de Amazon RDS. As ações de orçamento podem ser executadas automaticamente ou exigir aprovação do fluxo de trabalho. -
Implementar notificações sobre gastos: Use o AWS Cost Anomaly Detection
para reduzir seus custos imprevistos em sua organização e analisar a causa raiz de possíveis gastos anômalos. Depois de criar o monitor de custos para identificar gastos incomuns em sua granularidade especificada e configurar notificações em AWS Cost Anomaly Detection, ele envia um alerta quando um gasto incomum é detectado. Isso permitirá que você analise o caso raiz por trás da anomalia e entenda o impacto em seu custo. Use categorias de custo de AWS durante a configuração de AWS Cost Anomaly Detection para identificar qual equipe de projeto ou equipe de unidade de negócios pode analisar a causa raiz do custo inesperado e tomar as ações necessárias em tempo hábil. -
Implementar controles de uso: Usando as políticas da organização definidas, implemente políticas e perfis do IAM para especificar quais ações os usuários podem e quais não podem executar. Várias políticas organizacionais podem ser incluídas em uma política da AWS. Da mesma forma que você definiu políticas, comece amplamente e, em seguida, aplique controles mais granulares em cada etapa. Os limites de serviço também são um controle eficaz do uso. Implemente os limites de serviço corretos em todas as suas contas.
Recursos
Documentos relacionados:
Vídeos relacionados:
Exemplos relacionados:
-
Criar política do IAM para controlar o acesso aos recursos do Amazon EC2 usando tags
-
Restringir o acesso do Identity do IAM a recursos específicos do Amazon EC2
-
Criar uma política do IAM para restringir o uso do Amazon EC2 por família
-
Laboratórios do Well-Architected: Governança de custo e uso (Nível 100)
-
Laboratórios do Well-Architected: Governança de custo e uso (Nível 200)
-
Integrações do Slack para Cost Anomaly Detection usando AWS Chatbot