COST 2: Wie können Sie die Nutzung steuern?

Definieren Sie Richtlinien und Verfahren, um sicherzustellen, dass sich die Kosten auf dem Weg zur Erreichung Ihrer Ziele in einem angemessenen Rahmen bewegen. Durch den Einsatz eines Kontrollsystems können Sie Innovationen vorantreiben, ohne das Budget zu überschreiten.

Ressourcen

Control access to AWS Regions using IAM policies
AWS multiple account billing strategy
AWS managed policies for job functions

Bewährte Methoden:

• Entwickeln von Richtlinien auf Basis Ihrer Organisationsanforderungen: Entwickeln Sie Richtlinien, die definieren, wie Ressourcen von Ihrer Organisation verwaltet werden. Die Richtlinien sollten sich auch mit den Kostenaspekten der Ressourcen und Workloads befassen, einschließlich Erstellung, Änderung und Außerbetriebnahme während der gesamten Lebensdauer der Ressourcen.

• Implementieren von Zielen und Ergebnissen: Implementieren Sie sowohl Kosten- als auch Nutzungsziele für Ihren Workload. Ziele geben Ihrem Unternehmen Informationen zu Kosten und Nutzung und Ergebnisse liefern einen messbaren Wert für Ihre Workloads.

• Implementieren einer Kontenstruktur: Implementieren Sie eine Kontenstruktur, die für Ihre Organisation geeignet ist. Dadurch werden die Zuweisung und Verwaltung der Kosten in der gesamten Organisation erleichtert.

• Implementieren von Gruppen und Rollen: Implementieren Sie Gruppen und Rollen, die Ihren Richtlinien entsprechen, und steuern Sie, wer Instances und Ressourcen in jeder Gruppe erstellen, ändern oder außer Betrieb nehmen kann. Implementieren Sie beispielsweise Entwicklungs-, Test- und Produktionsgruppen. Dies gilt sowohl für AWS-Services als auch für Lösungen anderer Anbieter.

• Implementieren von Kostenkontrollen: Implementieren Sie Kontrollmechanismen, die auf den Organisationsrichtlinien sowie auf definierten Gruppen und Rollen basieren. Damit wird sichergestellt, dass die Kosten den Rahmen der festgelegten Organisationsanforderungen nicht sprengen. Mithilfe von IAM-Richtlinien können Sie beispielsweise den Zugriff auf Regionen oder Ressourcentypen steuern.

• Verfolgen des Projektlebenszyklus: Verfolgen, bewerten und überprüfen Sie den Lebenszyklus von Projekten, Teams und Umgebungen, damit Sie keine unnötigen Ressourcen nutzen, für die Sie zahlen müssen.

Verbesserungsplan

Entwickeln von Richtlinien auf Basis Ihrer Organisationsanforderungen

Treffen mit Teammitgliedern : Um Richtlinien zu entwickeln, rufen Sie alle Teammitglieder aus Ihrer Organisation auf, ihre Anforderungen anzugeben und sie entsprechend zu dokumentieren. Führen Sie einen iterativen Ansatz aus, indem Sie bei jedem Schritt umfassend beginnen und kontinuierlich auf die kleinsten Einheiten verfeinern. Zu den Teammitgliedern gehören Personen mit direktem Interesse am Workload, z. B. Organisationseinheiten oder Anwendungsbesitzer sowie unterstützende Gruppen wie Sicherheits- und Finanzteams.

Festlegen von Speicherorten für Ihren Workload : Definieren Sie, wo Ihr Workload ausgeführt wird, einschließlich des Landes und der Region innerhalb des Landes. Diese Informationen werden für die Zuweisung zu AWS-Regionen und Availability Zones verwendet.
Global Infrastructures Regions and AZs

Definieren und Gruppieren von Services und Ressourcen : Definieren Sie die Services, die für die Workloads erforderlich sind. Geben Sie für jeden Service die Typen, den Umfang und die Anzahl der erforderlichen Ressourcen an. Definieren Sie Gruppen für die Ressourcen nach Funktion, z. B. Anwendungsserver oder Datenbankspeicher. Ressourcen können mehreren Gruppen angehören.
Cloud Products

Definieren und Gruppieren der Benutzer nach Funktion : Definieren Sie die Benutzer, die mit dem Workload interagieren, und konzentrieren Sie sich darauf, was sie tun und wie sie den Workload verwenden, nicht auf die Benutzer oder ihre Position in der Organisation. Fassen Sie ähnliche Benutzer oder Funktionen in einer Gruppe zusammen. Sie können die von AWS verwalteten Richtlinien als Leitfaden verwenden.
AWS Managed Policies for Job Functions

Definieren der Aktionen : Definieren Sie mithilfe der zuvor identifizierten Standorte, Ressourcen und Benutzer die Aktionen, die von jedem benötigt werden, um die Workload-Ergebnisse über die Lebensdauer (Entwicklung, Betrieb und Außerbetriebnahme) zu erzielen. Identifizieren Sie die Aktionen an jedem Standort basierend auf den Gruppen, nicht auf den einzelnen Elementen in den Gruppen. Beginnen Sie umfassend mit Lese- oder Schreibvorgängen und verfeinern Sie dann auf bestimmte Aktionen für jeden Service.
Actions, Resources, and Condition Keys for AWS Services

Definieren des Überprüfungszeitraums : Workloads und Organisationsanforderungen können sich im Laufe der Zeit ändern. Definieren Sie den Zeitplan für die Überprüfung des Workloads, um sicherzustellen, dass er mit den Prioritäten der Organisation übereinstimmt. Hochfrequente Überprüfungszyklen werden in der Regel durch Sicherheitsanforderungen identifiziert. Kosten oder Nutzung sind signifikant, die Bedeutung für die Organisation ist hoch und der Änderungsumfang des Workloads ist ebenfalls von Bedeutung.

Dokumentieren der Richtlinien : Stellen Sie sicher, dass auf die definierten Richtlinien zugegriffen werden kann, wie von Ihrer Organisation gefordert. Diese Richtlinien werden verwendet, um den Zugriff auf Ihre Umgebungen zu implementieren, zu verwalten und zu prüfen.

Implementieren von Zielen und Ergebnissen

Definieren der erwarteten Nutzungsgrade : Konzentrieren Sie sich zunächst auf die Nutzungsebenen. Interagieren Sie mit den Anwendungsbesitzern, Marketing und größeren Geschäftsteams, um zu verstehen, wie die erwartete Nutzung für den Workload aussehen wird. Wie ändert sich die Kundennachfrage im Laufe der Zeit und gibt es Änderungen aufgrund saisonaler Erhöhungen oder Marketingkampagnen?

Definieren von Ressourcen und Kosten für Workloads : Mit den definierten Nutzungsstufen quantifizieren Sie die Änderungen der Workload-Ressourcen, die erforderlich sind, um diese Nutzungsebenen zu erfüllen. Möglicherweise müssen Sie den Umfang oder die Anzahl der Ressourcen für eine Workload-Komponente und die Datenübertragung erhöhen oder Workload-Komponenten in einen anderen Service auf einer bestimmten Ebene ändern. Geben Sie an, welche Kosten an jedem dieser wichtigen Punkte entstehen und welche Änderungen sich bei den Kosten ergeben, wenn sich die Nutzung ändert.

Definition von Geschäftszielen : Nehmen Sie die Ergebnisse zu den erwarteten Änderungen bei Nutzung und Kosten, kombinieren Sie sie mit den erwarteten Änderungen bei der Technologie oder sonstigen Programmen, die Sie ausführen, und entwickeln Sie Ziele für den Workload. Ziele müssen die Nutzung, die Kosten und die Beziehung zwischen den beiden berücksichtigen. Stellen Sie sicher, dass es organisatorische Programme gibt, z. B. Kompetenzaufbau wie Schulungen und Fortbildungen, wenn sich zwar die Kosten ändern, aber die Nutzung nicht.

Definieren der Ergebnisse : Geben Sie für jedes der definierten Ziele ein messbares Ergebnis an. Wenn ein Ziel darin besteht, die Effizienz des Workloads zu erhöhen, quantifiziert das Ergebnis den Grad der Verbesserung. Dies erfolgt typischerweise in Form einer Relation des Business-Outputs pro ausgegebenem Dollar und dem Zeitpunkt der Umsetzung.

Implementieren einer Kontenstruktur

Definieren von Trennungsanforderungen : Die Trennungsanforderungen sind eine Kombination aus mehreren Faktoren, darunter fallen Sicherheit, Zuverlässigkeit und finanzielle Konstrukte. Arbeiten Sie die einzelnen Faktoren in der richtigen Reihenfolge durch und geben Sie an, ob der Workload oder die Workload-Umgebung von anderen Workloads getrennt sein sollte. Die Sicherheitsmaßnahmen gewährleisten, dass Zugriffs- und Datenanforderungen erfüllt werden. Die Zuverlässigkeit stellt sicher, dass Limits verwaltet werden, sodass Umgebungen und Workloads keine Auswirkungen auf andere Elemente haben. Finanzkonstrukte stellen sicher, dass eine strikte finanzielle Trennung und Verantwortlichkeit besteht. Häufige Beispiele für die Trennung sind Produktions- und Test-Workloads, die in separaten Konten ausgeführt werden, oder die Verwendung eines separaten Kontos, sodass die Rechnungs- und Fakturierungsdaten einer Drittanbieterorganisation bereitgestellt werden können.

Definieren von Gruppierungsanforderungen : Die Anforderungen für die Gruppierung überschreiben die Trennungsanforderungen nicht, sondern dienen zur Unterstützung der Verwaltung. Gruppieren Sie ähnliche Umgebungen oder Workloads, die keine Trennung erfordern. Ein Beispiel hierfür ist die Gruppierung mehrerer Test- oder Entwicklungsumgebungen aus einem oder mehreren Workloads.

Definieren der Kontenstruktur : Geben Sie mit diesen Trennungen und Gruppierungen ein Konto für jede Gruppe an und stellen Sie sicher, dass die Trennungsanforderungen erfüllt werden. Diese Konten sind Ihre Mitgliedskonten oder verknüpfte Konten. Indem Sie diese Mitgliedskonten unter einem einzigen Master-/Zahlungskonto gruppieren, kombinieren Sie die Nutzung, was höhere Volumenrabatte für alle Konten ermöglicht und eine einzige Rechnung für alle Konten bereitstellt. Es ist möglich, Fakturierungsdaten zu trennen und jedem Mitgliedskonto eine individuelle Ansicht ihrer Fakturierungsdaten bereitzustellen. Definieren Sie mehrere Master-/Zahlungskoten, wenn die Nutzungs- oder Fakturierungsdaten eines Mitgliedskontos für kein anderes Konto sichtbar sein dürfen oder wenn eine separate Rechnung von AWS erforderlich ist. In diesem Fall hat jedes Mitgliedskonto ein eigenes Master-/Zahlungskonto. Ressourcen sollten immer in Mitgliedskonten/verknüpften Konten platziert werden. Die Master-/Zahlungskonten sollten nur für die Verwaltung verwendet werden.
AWS multiple account billing strategy
Splitting the CUR and Sharing Access

Implementieren von Gruppen und Rollen

Implementieren von Gruppen : Implementieren Sie bei Bedarf die entsprechenden Gruppen mithilfe der Benutzergruppen, die in Ihren Organisationsrichtlinien definiert sind. Bewährte Methoden für Benutzer, Gruppen und Authentifizierung finden Sie in der Säule der Sicherheit.
Well-Architected Security Pillar
Well-Architected Lab Basic Identity and Access

Implementieren von Rollen und Richtlinien : Erstellen Sie mithilfe der Aktionen, die in Ihren Organisationsrichtlinien definiert sind, die erforderlichen Rollen und Zugriffsrichtlinien. Bewährte Methoden für Rollen und Richtlinien finden Sie in der Säule der Sicherheit.
Well-Architected Security Pillar
Well-Architected Lab Basic Identity and Access

Implementieren von Kostenkontrollen

Implementieren von Benachrichtigungen zu Ausgaben : Erstellen Sie mithilfe Ihrer definierten Organisationsrichtlinien AWS-Budgets, um Benachrichtigungen zu erhalten, wenn Ausgaben außerhalb Ihrer Richtlinien liegen. Konfigurieren Sie mehrere Kostenbudgets, eines für jedes Konto, das Sie über die allgemeinen Kontoausgaben informiert. Konfigurieren Sie dann zusätzliche Kostenbudgets innerhalb jedes Kontos für kleinere Einheiten innerhalb des Kontos. Diese Einheiten variieren je nach Kontenstruktur. Einige gängige Beispiele sind AWS-Regionen, Workloads (mithilfe von Tags) oder AWS-Services. Stellen Sie sicher, dass Sie eine E-Mail-Verteilerliste als Empfänger für Benachrichtigungen konfigurieren und nicht das E-Mail-Konto einer Person. Sie können ein tatsächliches Budget für den Fall konfigurieren, dass ein Betrag überschritten wird, oder ein prognostiziertes Budget zur Benachrichtigung über die prognostizierte Nutzung verwenden.
Well-Architected Labs: Cost and Usage Governance

Implementieren von Nutzungskontrollen : Implementieren Sie mithilfe Ihrer definierten Organisationsrichtlinien IAM-Richtlinien und -Rollen, um anzugeben, welche Aktionen Benutzer ausführen und welche Aktionen sie nicht ausführen können. In einer AWS-Richtlinie können mehrere Organisationsrichtlinien enthalten sein. Gehen Sie auf die gleiche Art und Weise vor, wie Sie Richtlinien definiert haben. Beginnen Sie umfassend und wenden dann bei jedem Schritt detailliertere Kontrollen an. Service Limits sind auch eine effektive Kontrolle der Nutzung. Implementieren Sie die richtigen Service Limits für alle Ihre Konten.
Well-Architected Labs: Cost and Usage Governance
Control access to AWS Regions using IAM policies
AWS managed policies for job functions

Verfolgen des Projektlebenszyklus

Durchführen von Workload-Überprüfungen : Überprüfen Sie, wie in Ihren Organisationsrichtlinien definiert, Ihre vorhandenen Projekte. Der Aufwand für die Prüfung sollte proportional zum ungefähren Risiko, dem Wert oder den Kosten für die Organisation sein. Wichtige Bereiche, die in die Prüfung aufgenommen werden sollen, sind das Risiko eines Vorfalls oder eines Ausfalls, der Wert oder Beitrag für die Organisation (gemessen am Umsatz oder Ruf der Marke), die Kosten des Workloads (gemessen als Gesamtkosten für Ressourcen und Betriebskosten) und die Nutzung des Workloads (gemessen an der Anzahl der Ergebnisse der Organisation pro Zeiteinheit). Wenn sich diese Bereiche im Laufe des Lebenszyklus ändern, sind Anpassungen des Workloads erforderlich, z. B. die vollständige oder teilweise Außerbetriebnahme.