COST02-BP05 Mise en œuvre de contrôles de coûts

Mettez en œuvre des contrôles reposant sur des politiques organisationnelles et les groupes et rôles définis. Il s’agit de s’assurer que les coûts encourus sont toujours conformes aux exigences de l’organisation, notamment en termes de contrôle d’accès aux régions ou aux types de ressources.

Niveau de risque encouru si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

En matière de contrôle des coûts, la première étape consiste souvent à configurer l’envoi de notifications lorsque des événements liés aux coûts ou à l’utilisation sortant du cadre des stratégies en vigueur se produisent. Vous pouvez agir rapidement et vérifier si une action corrective est nécessaire, sans restreindre ni affecter négativement les charges de travail ou la nouvelle activité. Une fois que vous connaissez les limites de charge de travail et d’environnement, vous pouvez appliquer la gouvernance. AWS Budgets vous permet de définir des notifications et des budgets mensuels pour vos coûts liés à AWS, votre utilisation et vos remises sur l’engagement (Savings Plans et instances réservées). Vous pouvez créer des budgets à un niveau de coût global (intégralité des coûts, par exemple) ou plus précis, si vous n’incluez que les dimensions spécifiques pertinentes, telles que les comptes liés, les services, les balises ou les zones de disponibilité.

Une fois que vous avez défini vos limites budgétaires avec AWS Budgets, utilisez AWS Cost Anomaly Detection pour réduire vos coûts imprévus. AWS Cost Anomaly Detection est une fonction de gestion des coûts qui utilise le machine learning pour surveiller en permanence votre coût et votre utilisation, afin de détecter les dépenses inhabituelles. Il vous permet d’identifier les dépenses anormales et les causes profondes, afin que vous puissiez prendre des mesures rapidement. Créez tout d’abord un système de surveillance des coûts dans AWS Cost Anomaly Detection, puis choisissez votre préférence d’alerte en établissant un seuil monétaire (par exemple une alerte sur les anomalies ayant un impact supérieur à 1 000 USD). Une fois les alertes reçues, vous pouvez analyser la cause profonde de l’anomalie et son impact sur vos coûts. Vous pouvez également surveiller et analyser les anomalies dans AWS Cost Explorer.

Appliquez les politiques de gouvernance dans AWS via AWS Identity and Access Management et les politiques de contrôle des services (SCP) AWS Organizations. IAM vous permet de gérer en toute sécurité l’accès aux services et ressources AWS. Avec IAM, vous pouvez contrôler qui peut créer et gérer les ressources AWS, le type de ressources qui peuvent être créées et le lieu où elles peuvent être créées. Cela réduit au minimum les risques que des ressources soient créées en dehors du cadre de la politique définie. Utilisez les rôles et groupes créés précédemment et attribuez des politiques IAM pour appliquer l’utilisation correcte. Les politiques de contrôle des services (SCP) offrent un contrôle centralisé des autorisations maximales disponibles pour tous les comptes de votre organisation, afin que ces derniers respectent à tout moment vos directives de contrôle d’accès. Les politiques SCP ne sont disponibles que dans les organisations où toutes les fonctionnalités sont activées. Vous pouvez configurer les politiques SCP afin qu’elles refusent ou autorisent par défaut les actions des comptes membres. Pour en savoir plus sur la mise en œuvre de la gestion des accès, reportez-vous au livre blanc sur le pilier de sécurité Well-Architected.

La gouvernance peut également être mise en œuvre grâce à la gestion des quotas de services AWS. En vous assurant que les quotas de service sont fixés avec un coût minimum et gérés avec précision, vous pouvez minimiser la création de ressources en dehors du cadre des exigences de votre organisation. Pour ce faire, vous devez comprendre à quel point vos exigences peuvent rapidement changer, appréhender les projets en cours (tant la création que la mise hors service des ressources) et tenir compte de l’accélération des délais de mise en œuvre de ces quotas. Les Service Quotas peuvent être utilisés pour augmenter vos quotas, si nécessaire.

Étapes d’implémentation

Implémentation de notifications sur les dépenses : à l’aide des stratégies définies par votre organisation, créez un système AWS Budgets qui vous avertira lorsque les dépenses ne seront pas conformes à vos stratégies. Configurez plusieurs budgets de coûts, un pour chaque compte, afin d’être averti des dépenses globales du compte. Configurez des budgets de coûts supplémentaires dans chaque compte pour les plus petites unités du compte. Ces unités varient en fonction de la structure de votre compte. Voici quelques exemples courants : les Régions AWS, les charges de travail (avec les balises) ou les services AWS. Configurez une liste de distribution comme destinataire des notifications au lieu d’utiliser le compte de messagerie d’un individu. Vous pouvez définir un budget réel en cas de dépassement d’un montant ou utiliser un budget prévisionnel pour notifier l’utilisation prévue. Vous pouvez également préconfigurer des actions Budget AWS pour appliquer des politiques IAM ou SCP spécifiques, voire arrêter les instances Amazon EC2 ou Amazon RDS cibles. Les actions Budget peuvent être lancées automatiquement ou nécessiter l’approbation du flux de travail.
Implémentation de notifications en cas de dépenses anormales : utilisez AWS Cost Anomaly Detection pour réduire les coûts imprévus dans votre organisation et analyser la cause première des dépenses anormales potentielles. Une fois que vous avez créé un système de surveillance des coûts pour identifier les dépenses inhabituelles à la granularité spécifiée et configuré les notifications dans AWS Cost Anomaly Detection, vous recevez une alerte lorsque des dépenses inhabituelles sont détectées. Cela vous permettra d’analyser la cause première de l’anomalie et de comprendre l’impact sur votre coût. Utilisez les catégories de coûts AWS en configurant AWS Cost Anomaly Detection afin de déterminer quelle équipe de projet ou d’unité commerciale peut analyser la cause première des coûts imprévus et prendre rapidement les mesures nécessaires.
Implémentation de contrôle d’utilisation : à l’aide de vos politiques d’organisation définies, mettez en œuvre des politiques IAM et des rôles IAM pour spécifier les actions que les utilisateurs peuvent effectuer et ne peuvent pas effectuer. Plusieurs stratégies organisationnelles peuvent être incluses dans une stratégie AWS. De la même manière que vous avez défini les stratégies, commencez de manière générale et appliquez ensuite des contrôles plus fins à chaque étape. Les limites de service constituent également un contrôle efficace de l’utilisation. Mettez en œuvre les limites de service correctes sur tous vos comptes.

Ressources

Documents connexes :

Vidéos connexes :

How can I use AWS Budgets to track my spending and usage

Exemples connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

COST02-BP04 Mise en œuvre de groupes et de rôles

COST02-BP06 Suivi du cycle de vie des projets