OPS02-BP01 确定资源所有者 - AWS Well-Architected Framework

OPS02-BP01 确定资源所有者

工作负载的资源必须具有已确定的所有者,以便实现变更控制、故障排除和其他功能。为工作负载、账户、基础设施、平台和应用程序分配所有者。使用集中登记册或附加到资源的元数据等工具记录所有权。组件的商业价值指明应用于它们的流程和程序。

期望结果:

  • 使用元数据或集中登记册确定资源所有者。

  • 团队成员可以确定谁拥有资源。

  • 在可能的情况下,账户只有一个所有者。

常见反模式:

  • 未填入 AWS 账户 的备用联系人。

  • 资源缺少用于标识哪些团队拥有它们的标记。

  • 您的 ITSM 队列没有电子邮件映射。

  • 两个团队对一个关键基础设施的所有权出现重叠。

建立此最佳实践的好处:

  • 通过分配所有权,资源的变更控制变得非常简单。

  • 在排查问题时,您可以让适合的所有者参与进来。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

定义所有权对于环境中的资源使用案例的意义。所有权表示谁监督资源的变更、在排查故障时对资源提供支持或谁在财务上负责。指定并记录资源所有者,包括名称、联系信息、组织和团队。

客户示例

AnyCompany Retail 将所有权定义为控制资源变更和支持的团队或个人。他们利用 AWS Organizations 来管理其 AWS 账户。使用组收件箱配置账户备用联系人。每个 ITSM 队列映射到一个电子邮件别名。标签确定谁拥有 AWS 资源。对于其他平台和基础设施,他们有 Wiki 页面,其中确定了所有权和联系信息。

实施步骤

  1. 首先定义组织的所有权。所有权意味着谁承担资源的风险、谁控制对资源的变更,或在排查故障时谁为资源提供支持。所有权还意味着资源的财务或管理所有权。

  2. 使用 AWS Organizations 来管理账户。您可以集中管理账户的备用联系人。

    1. 联系信息使用公司拥有的电子邮件地址和电话号码,即使它们所属的个人不再是公司的员工,您仍可以访问它们。例如,为账单、运营和安全性创建单独的电子邮件分发列表,并在各个活跃的 AWS 账户 中将它们配置为账单、安全性和运营联系人。有多个人会收到 AWS 通知,所以即使有人在度假、变更角色或离开公司,也有其他人能够作出回复。

    2. 如果一个账户未由 AWS Organizations 管理,则在需要时,备用账户联系人可帮助 AWS 与相关人员联系。将账户的备用联系人配置为指向群组而不是指向个人。

  3. 使用标签来识别 AWS 资源的所有者。您可以用单独的标签指定所有者及其联系信息。

    1. 您可以使用 AWS Config 规则强制使资源具有所需的所有权标签。

    2. 有关如何为组织构建标记策略的深入指导,请参阅 AWS 标记最佳实践白皮书

  4. 对于其他资源、平台和基础设施,创建用于标识所有权的文档。所有团队成员应该都可以访问此文档。

实施计划的工作量级别:低。利用账户联系信息和标签来分配 AWS 资源的所有权。对于其他资源,您可以使用像 Wiki 中的表格这样简单的东西来记录所有权和联系信息,或使用 ITSM 工具来映射所有权。

资源

相关最佳实践:

相关文档:

相关示例:

相关服务: