COST 2: 사용량을 어떻게 관리합니까?

목표 달성 과정에서 발생하는 비용을 적정 수준으로 유지하는 정책과 메커니즘을 설정합니다. ‘견제와 균형’ 방식을 도입하면 비용을 과도하게 지출하지 않고 획기적인 방식으로 목표를 달성할 수 있습니다.

리소스

Control access to AWS Regions using IAM policies
AWS multiple account billing strategy
AWS managed policies for job functions

모범 사례:

• 조직 요구 사항에 따라 정책 개발:: 조직에서 리소스를 관리하는 방법을 정의하는 정책을 개발합니다. 정책은 리소스 수명 주기 동안의 생성, 수정, 폐기를 포함한 리소스와 워크로드의 비용 측면을 다루어야 합니다.

• 목표 및 타겟 이행: 워크로드에 대한 비용 및 사용량 목표를 모두 이행합니다. 목표는 조직에 비용 및 사용량에 대한 방향을 제공하고, 타겟은 워크로드에 대한 측정 가능한 결과를 제공합니다.

• 계정 구조 구현: 조직에 적합한 계정 구조를 구현합니다. 이를 통해 조직 전체에서 비용을 쉽게 할당하고 관리할 수 있습니다.

• 그룹 및 역할 만들기: 정책에 따라 그룹과 역할을 만들고 각 그룹에서 인스턴스와 리소스를 생성, 수정 또는 폐기할 수 있는 사용자를 제어합니다. 예를 들어 개발, 테스트 및 프로덕션 그룹을 만듭니다. 이는 AWS 서비스와 타사 솔루션에 적용됩니다.

• 비용 제어 기능 만들기: 조직 정책과 정의된 그룹 및 역할을 기준으로 제어 기능을 만듭니다. 이렇게 하면 조직 요구 사항에 따라 정의된 비용만 발생합니다. 예를 들어 IAM 정책을 사용하여 리전 또는 리소스 유형 액세스를 제어할 수 있습니다.

• 프로젝트 수명 주기 추적: 프로젝트, 팀 및 환경의 수명 주기를 추적, 측정 및 감사하여 불필요한 리소스 사용 및 이에 따른 비용 지출을 막으십시오.

개선 계획

조직 요구 사항에 따라 정책 개발:

팀원과의 만남 : 정책 개발을 위해 조직의 모든 팀원이 요구 사항을 지정하고 적절히 문서화하도록 합니다. 광범위하게 시작하여 반복적인 접근 방식을 취하고 각 단계에서 가장 작은 단위까지 계속 세분화합니다. 팀원에는 조직 단위 또는 애플리케이션 소유자와 같이 워크로드에 직접적인 관심이 있는 멤버뿐만 아니라 보안 및 재무 팀과 같은 지원 그룹이 포함됩니다.

워크로드 위치 정의 : 국가와 국가 내 지역을 포함한 워크로드의 작동 위치를 정의합니다. 이 정보는 AWS 리전 및 가용 영역에 매핑하는 데 사용됩니다.
Global Infrastructures Regions and AZs

서비스와 리소스 정의 및 그룹화 : 워크로드에 필요한 서비스를 정의합니다. 서비스마다 필요한 리소스 유형, 크기 및 수를 지정합니다. 애플리케이션 서버나 데이터베이스 스토리지와 같은 기능별로 리소스 그룹을 정의합니다. 리소스는 여러 그룹에 속할 수 있습니다.
Cloud Products

역할별로 사용자 정의 및 그룹화 : 누구인지 또는 조직에서 어떤 직책을 맡고 있는지가 아니라 무슨 일을 하며 워크로드를 어떻게 사용하는지에 초점을 두고, 워크로드와 밀접한 일을 하는 사용자를 정의합니다. 유사한 사용자나 역할을 함께 그룹화합니다. AWS 관리형 정책을 가이드로 사용할 수 있습니다.
AWS Managed Policies for Job Functions

작업 정의 : 이전에 식별된 위치, 리소스 및 사용자를 사용하여 수명 주기(개발, 운영 및 폐기) 동안 각자 워크로드 성과를 거두는 데 필요한 작업을 정의합니다. 각 위치에서 그룹의 개별 요소가 아니라 그룹을 기반으로 작업을 식별합니다. 읽기 또는 쓰기로 광범위하게 시작한 다음 각 서비스에 대한 특정 작업까지 세분화합니다.
Actions, Resources, and Condition Keys for AWS Services

검토 기간 정의 : 워크로드와 조직 요구 사항은 시간이 지나면서 바뀔 수 있습니다. 조직의 우선 순위와 일치하도록 워크로드 검토 일정을 정의합니다. 높은 빈도의 검토 주기는 대개 보안 요구 사항, 비용 또는 사용량, 조직에 대한 중요도 및 워크로드의 변화량으로 식별됩니다.

정책 문서화 : 정의된 정책에 조직의 필요에 따라 액세스할 수 있는지 확인합니다. 이러한 정책은 환경의 액세스를 구현, 유지 관리 및 감사하는 데 사용됩니다.

목표 및 타겟 이행

예상 사용량 수준 정의 : 먼저 사용량 수준에 초점을 맞추십시오. 애플리케이션 소유자, 마케팅 및 더 큰 비즈니스 팀과 협력하여 워크로드의 예상 사용량 수준을 파악합니다. 시간 경과에 따라 고객 수요는 어떻게 바뀔 것이며, 계절에 따른 증가나 마케팅 캠페인으로 인한 변화가 있을지도 알아봅니다.

워크로드 리소싱 및 비용 정의 : 사용량 수준을 정의한 후 이러한 사용량 수준을 충족하는 데 필요한 워크로드 리소스의 변경 사항을 수량화합니다. 워크로드 구성 요소의 리소스 크기 또는 수를 늘리거나, 데이터 전송을 늘리거나, 워크로드 구성 요소를 특정 수준의 다른 서비스로 변경해야 할 수 있습니다. 이러한 각 주요 지점에서 비용은 어떻게 될 것이며, 사용량에 변화가 있을 때 비용은 어떻게 바뀔지 지정합니다.

비즈니스 목표 정의 : 예상 사용량 및 비용 변화의 결과를 예상되는 기술 변화나 실행 중인 모든 프로그램과 결합하고 워크로드에 대한 목표를 개발합니다. 목표가 사용량, 비용 및 이 둘의 관계를 충족해야 합니다. 사용량 변화 없이 비용 변화만 예상되는 경우 훈련 및 교육 등의 기능 구축과 같은 조직 프로그램이 있는지 확인합니다.

타겟 정의 : 정의된 각 목표에 대해 측정 가능한 타겟을 지정합니다. 워크로드의 효율성을 높이는 것이 목표라면 타겟은 소비한 달러당 비즈니스 성과의 개선량과 제공 시점을 수량화합니다.

계정 구조 구현

분리 요구 사항 정의 : 분리에 대한 요구 사항은 보안, 안정성, 재무 구조와 같은 여러 요인을 결합한 것입니다. 각 요인을 순서대로 살펴보고 워크로드 또는 워크로드 환경이 다른 워크로드와 분리되어야 하는지 여부를 지정합니다. 보안을 통해 액세스 및 데이터 요구 사항을 준수할 수 있습니다. 안정성은 한도를 관리하여 환경과 워크로드가 다른 요인에 영향을 미치지 않도록 합니다. 재무 구조는 엄격한 재무 분리 및 회계 책임을 보장합니다. 분리의 일반적인 예로는 별도의 계정에서 실행 중인 프로덕션 및 테스트 워크로드 또는 송장 및 결제 데이터를 타사 조직에 제공하기 위한 별도의 계정을 사용이 있습니다.

그룹화 요구 사항 정의 : 그룹화 요구 사항은 분리 요구 사항에 우선하지 않지만 관리를 지원하는 데 사용됩니다. 분리할 필요가 없는 유사한 환경 또는 워크로드를 함께 그룹화합니다. 예를 들어 하나 이상의 워크로드에 속하는 여러 테스트 또는 개발 환경을 함께 그룹화합니다.

계정 구조 정의 : 이러한 분리와 그룹화를 사용하여 각 그룹에 대한 계정을 지정하고 분리 요구 사항이 유지되도록 합니다. 이러한 계정은 멤버 또는 연결된 계정입니다. 이러한 멤버 계정을 하나의 마스터/지급인 계정으로 그룹화하면 사용량이 결합되어 모든 계정에서 더 큰 대량 구매 할인을 받을 수 있고 모든 계정에 대해 단일 청구서가 제공됩니다. 결제 데이터를 분리하고 각 멤버 계정에 결제 데이터의 개별 보기를 제공할 수 있습니다. 멤버 계정의 사용 내역 또는 결제 데이터가 다른 계정에 표시되지 않아야 하거나 AWS와 별도의 청구서가 필요한 경우 여러 마스터/지급인 계정을 정의합니다. 이 경우 멤버 계정마다 고유의 마스터/지급인 계정이 있습니다. 리소스는 항상 멤버/연결 계정에 배치되어야 합니다. 마스터/지급인 계정은 관리에만 사용해야 합니다.
AWS multiple account billing strategy
Splitting the CUR and Sharing Access

그룹 및 역할 만들기

그룹 만들기 : 조직 정책에 정의된 사용자 그룹을 사용하여 필요한 경우 해당 그룹을 만듭니다. 사용자, 그룹 및 인증에 대한 모범 사례는 보안 원칙을 참조하십시오.
Well-Architected Security Pillar
Well-Architected Lab Basic Identity and Access

역할 및 정책 만들기 : 조직 정책에 정의된 작업을 사용하여 필요한 역할과 액세스 정책을 생성합니다. 역할 및 정책에 대한 모범 사례는 보안 원칙을 참조하십시오.
Well-Architected Security Pillar
Well-Architected Lab Basic Identity and Access

비용 제어 기능 만들기

지출에 대한 알림 만들기 : 정의된 조직 정책으로 AWS 예산을 생성하여 지출이 정책을 벗어날 때 알림을 제공합니다. 전체 계정 지출에 대해 알리는 비용 예산을 계정당 하나씩 여러 개 구성합니다. 그런 다음 각 계정 내에서 해당 계정 내의 더 작은 단위에 대한 추가 비용 예산을 구성합니다. 이러한 단위는 계정 구조에 따라 다릅니다. 일반적인 예로 AWS 리전, 워크로드(태그 사용) 또는 AWS 서비스가 있습니다. 개인의 이메일 계정이 아닌 이메일 배포 목록을 알림에 대한 수신자로 구성해야 합니다. 금액을 초과할 때에 대한 실제 예산을 구성하거나 예상 예산을 사용하여 예상 사용량에 대해 알릴 수 있습니다.
Well-Architected Labs: Cost and Usage Governance

사용량에 대한 제어 만들기 : 정의된 조직 정책으로 IAM 정책 및 역할을 만들어서 사용자가 수행할 수 있는 작업과 수행할 수 없는 작업을 지정합니다. AWS 정책에 여러 조직 정책이 포함될 수 있습니다. 정책을 정의한 것과 동일한 방식으로 광범위하게 시작한 다음 각 단계에서 보다 세분화된 제어를 적용합니다. 서비스 한도도 효과적인 사용량 제어 방식입니다. 모든 계정에 올바른 서비스 한도를 설정합니다.
Well-Architected Labs: Cost and Usage Governance
Control access to AWS Regions using IAM policies
AWS managed policies for job functions

프로젝트 수명 주기 추적

워크로드 검토 수행 : 조직 정책에 정의된 대로 기존 프로젝트를 감사합니다. 감사에 드는 노력은 조직의 대략적인 위험, 가치 또는 비용에 비례해야 합니다. 감사에 포함할 주요 영역은 조직의 인시던트 또는 가동 중단 위험, 가치 또는 조직에 대한 기여도(수익 또는 브랜드 평판으로 측정), 워크로드 비용(총 리소스 비용 및 운영 비용으로 측정), 워크로드 사용량(단위 시간당 조직 성과 수로 측정)입니다. 수명 주기 동안 이러한 영역이 변경되면 전체 또는 부분 폐기와 같은 워크로드 조정이 필요합니다.