OPS02-BP01 已為資源識別擁有者
工作負載的資源必須已識別變更控制、疑難排解和其他功能的擁有者。系統會為工作負載、帳戶、基礎設施、平台和應用程式指派擁有者。擁有權會使用集中註冊或連接至資源的中繼資料等工具來記錄。元件的商業價值會透露其適用的流程和程序。
預期成果:
-
資源已使用中繼資料或集中註冊識別擁有者。
-
團隊成員可識別誰擁有資源。
-
帳戶會盡可能擁有單一擁有者。
常見的反模式:
-
AWS 帳戶 的替代聯絡人未填入。
-
資源缺少用來識別哪些團隊是其擁有者的標籤。
-
您有不具備電子郵件對應的 ITSM 佇列。
-
兩個團隊對於基礎設施的關鍵部件有重疊的擁有權。
建立此最佳實務的優勢:
-
有了指派的擁有權,資源的變更控制將是簡單明瞭的。
-
對問題進行疑難排解時,您將可接洽正確的擁有者。
未建立此最佳實務時的風險暴露等級:高
實作指引
定義擁有權對環境中的資源使用案例的意義。擁有權可表示誰負責監督資源的變更、誰支援疑難排解期間的資源,或財務責任由誰承擔。指定並記錄資源的擁有者,包括名稱、聯絡資訊、組織和團隊。
客戶範例
AnyCompany Retail 將擁有權定義為擁有資源變更和支援的團隊或個人。他們使用 AWS Organizations 來管理其 AWS 帳戶。替代帳戶聯絡人使用群組收件匣進行設定。每個 ITSM 佇列分別對應至一個電子郵件別名。標籤會指出誰擁有 AWS 資源。對於其他平台和基礎設施,他們有 Wiki 頁面會指出擁有權和聯絡資訊。
實作步驟
-
首先為您的組織定義擁有權。擁有權可暗示資源的風險由誰承擔、誰擁有資源的變更,或誰支援疑難排解期間的資源。擁有權也可暗示資源的財務或管理擁有權。
-
使用 AWS Organizations
管理帳戶。您可以集中管理帳戶的替代聯絡人。 -
只要使用公司擁有的電子郵件地址和電話號碼作為聯絡資訊,即使聯絡資訊所屬的個人已離職,您仍可存取這些資訊。例如,為帳單、營運和安全建立各別的電子郵件分發清單,在每個作用中 AWS 帳戶 中將這些設定為帳戶、安全和營運聯絡人。即使某人休假、職務變動或離職,仍有多人會收到 AWS 通知並且能有所回應。
-
如果帳戶未由 AWS Organizations
管理,替代帳戶聯絡人可協助 AWS 在必要時聯繫到適當人員。設定帳戶的替代聯絡人,將其指向群組而非個人。
-
-
使用標籤來識別 AWS 資源的擁有者。您可以用個別的標籤指定擁有者及其聯絡資訊。
-
您可以使用 AWS Config
規則強制資源要有必要的擁有權標籤。 -
如需如何為組織建置標記策略的深入指引,請參閱 AWS 標記最佳實務白皮書。
-
-
對於其他資源、平台和基礎設施,請建立識別擁有權的文件。此文件應開放給所有團隊成員存取。
實作計劃的工作量:低。利用帳戶聯絡資訊和標籤指派 AWS 資源的擁有權。對於其他資源,您可以使用 Wiki 表格這類簡單的工具來記錄擁有權與聯絡資訊,或使用 ITSM 工具來對應擁有權。
資源
相關的最佳實務:
-
OPS02-BP02 已為流程和程序識別擁有者 - 支援資源的流程和程序取決於資源擁有權。
-
OPS02-BP04 團隊成員知道他們負責的項目 - 團隊成員應了解他們是哪些資源的擁有者。
-
OPS02-BP05 存在機制用來識別責任和擁有權 - 擁有權必須可使用標籤或帳戶聯絡人等機制來探索。
相關文件:
相關範例:
相關服務:
