# KOSTEN 2 Wie können Sie die Nutzung steuern?
Definieren Sie Richtlinien und Verfahren, um sicherzustellen, dass sich die Kosten auf dem Weg zur Erreichung Ihrer Ziele in einem angemessenen Rahmen bewegen. Durch den Einsatz eines Kontrollsystems können Sie Innovationen vorantreiben, ohne das Budget zu überschreiten.
**Topics**
+ [COST02-BP01 Entwickeln von Richtlinien auf Basis Ihrer Organisationsanforderungen](cost_govern_usage_policies.md)
+ [COST02-BP02 Implementieren von Zielen und Ergebnissen](cost_govern_usage_goal_target.md)
+ [COST02-BP03 Implementieren einer Kontenstruktur](cost_govern_usage_account_structure.md)
+ [COST02-BP04 Implementieren von Gruppen und Rollen](cost_govern_usage_groups_roles.md)
+ [COST02-BP05 Implementieren von Kostenkontrollen](cost_govern_usage_controls.md)
+ [COST02-BP06 Verfolgen des Projektlebenszyklus](cost_govern_usage_track_lifecycle.md)
# COST02-BP01 Entwickeln von Richtlinien auf Basis Ihrer Organisationsanforderungen
Entwickeln Sie Richtlinien, die definieren, wie Ressourcen von Ihrer Organisation verwaltet werden. Die Richtlinien sollten sich auch mit den Kostenaspekten der Ressourcen und Workloads befassen, einschließlich Erstellung, Änderung und Außerbetriebnahme während der gesamten Lebensdauer der Ressourcen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
Die Kenntnis der Kostentreiber in Ihrem Unternehmen ist für die effektive Verwaltung Ihrer Ausgaben und Nutzung und die Identifizierung von Kostenreduzierungsmöglichkeiten von entscheidender Bedeutung. Unternehmen betreiben in der Regel mehrere Workloads, die von mehreren Teams ausgeführt werden. Diese Teams können sich in verschiedenen Organisationseinheiten befinden, die jeweils über eigene Einnahmequellen verfügen. Die Möglichkeit, die Ressourcenkosten den Workloads, der jeweiligen Organisation oder den Produkteigentümern zuzuordnen, fördert ein effizientes Nutzungsverhalten und hilft, Abfall zu reduzieren. Mit einer präzisen Kosten- und Nutzungszuordnung können Sie die Rentabilität von Organisationseinheiten und Produkten nachvollziehen und fundiertere Entscheidungen dazu treffen, welchen Bereichen in Ihrem Unternehmen Ressourcen zugeordnet werden. Das Bewusstsein der Nutzung auf allen Unternehmensebenen ist entscheidend für Veränderungen, da eine Änderung der Nutzung zu Kostenänderungen führt. Überlegen Sie sich, beim Ermitteln von Nutzungsmustern und Ausgaben einen mehrschichtigen Ansatz zu nutzen.
Der erste Schritt bei der Implementierung von Governance besteht darin, Richtlinien für die Cloud-Nutzung anhand der Anforderungen Ihres Unternehmens zu entwickeln. Diese Richtlinien definieren, wie Ihr Unternehmen die Cloud verwendet und wie Ressourcen verwaltet werden. Richtlinien sollten alle Aspekte von Ressourcen und Workloads abdecken, die sich auf Kosten oder Nutzung beziehen, einschließlich Erstellung, Änderung und Außerbetriebnahme über die Lebensdauer der Ressource.
Richtlinien sollten einfach sein, damit sie leicht verständlich sind und im gesamten Unternehmen effektiv implementiert werden können. Beginnen Sie mit umfangreichen allgemeinen Richtlinien, z. B. in welcher geografischen Region die Nutzung zulässig ist oder zu welchen Tageszeiten Ressourcen ausgeführt werden sollen. Verfeinern Sie schrittweise die Richtlinien für die verschiedenen Organisationseinheiten und Workloads. Häufige Richtlinien legen fest, welche Services und Funktionen verwendet werden können (z. B. Speicher mit niedrigerer Leistung in Test- oder Entwicklungsumgebungen) und welche Ressourcentypen von verschiedenen Gruppen verwendet werden können (z. B. ist die größte Ressourcen in einem Entwicklungskonto mittelgroß).
**Implementierungsschritte**
+ **Treffen mit Teammitgliedern: **Um Richtlinien zu entwickeln, rufen Sie alle Teammitglieder aus Ihrer Organisation auf, ihre Anforderungen anzugeben und sie entsprechend zu dokumentieren. Führen Sie einen iterativen Ansatz aus, indem Sie bei jedem Schritt umfassend beginnen und kontinuierlich auf die kleinsten Einheiten verfeinern. Zu den Teammitgliedern gehören Personen mit direktem Interesse am Workload, z. B. Organisationseinheiten oder Anwendungsbesitzer sowie unterstützende Gruppen wie Sicherheits- und Finanzteams.
+ ** Festlegen von Speicherorten für Ihren Workload: **Definieren Sie, wo Ihr Workload ausgeführt wird, einschließlich des Landes und der Region innerhalb des Landes. Diese Informationen werden für die Zuweisung zu AWS-Regionen und Availability Zones verwendet.
+ ** Definieren und Gruppieren von Services und Ressourcen: **Definieren Sie die Services, die für die Workloads erforderlich sind. Geben Sie für jeden Service die Typen, den Umfang und die Anzahl der erforderlichen Ressourcen an. Definieren Sie Gruppen für die Ressourcen nach Funktion, z. B. Anwendungsserver oder Datenbankspeicher. Ressourcen können mehreren Gruppen angehören.
+ **Definieren und Gruppieren der Benutzer nach Funktion: **Definieren Sie die Benutzer, die mit dem Workload interagieren, und konzentrieren Sie sich darauf, was sie tun und wie sie den Workload verwenden, nicht auf die Benutzer oder ihre Position in der Organisation. Fassen Sie ähnliche Benutzer oder Funktionen in einer Gruppe zusammen. Sie können die von AWS verwalteten Richtlinien als Leitfaden verwenden.
+ ** Definieren der Aktionen:** Definieren Sie mithilfe der zuvor identifizierten Standorte, Ressourcen und Benutzer die Aktionen, die von jedem benötigt werden, um die Workload-Ergebnisse über die Lebensdauer (Entwicklung, Betrieb und Außerbetriebnahme) zu erzielen. Identifizieren Sie die Aktionen an jedem Standort basierend auf den Gruppen, nicht auf den einzelnen Elementen in den Gruppen. Beginnen Sie umfassend mit Lese- oder Schreibvorgängen und verfeinern Sie dann auf bestimmte Aktionen für jeden Service.
+ ** Definieren des Überprüfungszeitraums:** Workloads und Organisationsanforderungen können sich im Laufe der Zeit ändern. Definieren Sie den Zeitplan für die Überprüfung des Workloads, um sicherzustellen, dass er mit den Prioritäten der Organisation übereinstimmt.
+ **Dokumentieren der Richtlinien: **Stellen Sie sicher, dass auf die definierten Richtlinien zugegriffen werden kann, wie von Ihrer Organisation gefordert. Diese Richtlinien werden verwendet, um den Zugriff auf Ihre Umgebungen zu implementieren, zu verwalten und zu prüfen.
## Ressourcen
**Zugehörige Dokumente:**
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [AWS-Fakturierungsstrategie mit mehreren Konten](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html)
+ [Cloud-Produkte](https://aws.amazon.com/products/)
+ [Steuern Sie den Zugang zu AWS-Regionen mit IAM-Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [Globale Infrastruktur-Regionen und -AZs](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)
# COST02-BP02 Implementieren von Zielen und Ergebnissen
Implementieren Sie sowohl Kosten- als auch Nutzungsziele für Ihren Workload. Ziele geben Ihrem Unternehmen Informationen zu Kosten und Nutzung und Ergebnisse liefern einen messbaren Wert für Ihre Workloads.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
Entwickeln Sie Kosten- und Nutzungsziele sowie Vorgaben für Ihr Unternehmen. Ziele bieten Ihrem Unternehmen richtungsweisende Anleitungen hinsichtlich der erwarteten Ergebnisse. Vorgaben bieten spezifische messbare Ergebnisse, die erreicht werden müssen. Ein Beispiel für ein Ziel ist: Die Plattformnutzung sollte deutlich steigen, mit nur einer geringfügigen (nicht-linearen) Kostensteigerung. Ein Beispiel für eine Vorgabe ist eine 20 % höhere Plattformnutzung mit weniger als 5 % höheren Kosten. Ein weiteres häufiges Ziel ist, dass Workloads alle sechs Monate effizienter sein müssen. Die zugehörige Vorgabe wäre, dass die Kosten pro Ausgabe der Workload alle 6 Monate um 5 % gesenkt werden müssen.
Ein häufiges Ziel für Cloud-Workloads besteht darin, die Workload-Effizienz zu steigern, d. h. die Kosten pro Geschäftsergebnis des Workloads im Laufe der Zeit zu senken. Es wird empfohlen, dieses Ziel für alle Workloads zu implementieren und eine Vorgabe festzulegen, z. B. eine Effizienzsteigerung von 5 % alle 6–12 Monate. Dies kann in der Cloud durch die Entwicklung von Fähigkeiten bei der Kostenoptimierung und durch die Veröffentlichung neuer Services und Service-Funktionen erreicht werden.
**Implementierungsschritte**
+ **Definieren der erwarteten Nutzungsgrade: **Konzentrieren Sie sich zunächst auf die Nutzungsebenen. Interagieren Sie mit den Anwendungsbesitzern, Marketing und größeren Geschäftsteams, um zu verstehen, wie die erwartete Nutzung für den Workload aussehen wird. Wie ändert sich die Kundennachfrage im Laufe der Zeit und gibt es Änderungen aufgrund saisonaler Erhöhungen oder Marketingkampagnen?
+ ** Definieren von Ressourcen und Kosten für Workloads: **Mit den definierten Nutzungsstufen quantifizieren Sie die Änderungen der Workload-Ressourcen, die erforderlich sind, um diese Nutzungsebenen zu erfüllen. Möglicherweise müssen Sie den Umfang oder die Anzahl der Ressourcen für eine Workload-Komponente und die Datenübertragung erhöhen oder Workload-Komponenten in einen anderen Service auf einer bestimmten Ebene ändern. Geben Sie an, welche Kosten an jedem dieser wichtigen Punkte entstehen und welche Änderungen sich bei den Kosten ergeben, wenn sich die Nutzung ändert.
+ **Definieren von Geschäftszielen: **Nehmen Sie die Ergebnisse zu den erwarteten Änderungen bei Nutzung und Kosten, kombinieren Sie sie mit den erwarteten Änderungen bei der Technologie oder sonstigen Programmen, die Sie ausführen, und entwickeln Sie Ziele für den Workload. Ziele müssen die Nutzung, die Kosten und die Beziehung zwischen den beiden berücksichtigen. Überprüfen Sie, dass es organisatorische Programme gibt, z. B. Kompetenzaufbau wie Schulungen und Fortbildungen, wenn sich zwar die Kosten ändern, aber die Nutzung nicht.
+ **Definieren der Ergebnisse: **Geben Sie für jedes der definierten Ziele ein messbares Ergebnis an. Wenn ein Ziel darin besteht, die Effizienz des Workloads zu erhöhen, quantifiziert das Ergebnis den Grad der Verbesserung. Dies erfolgt typischerweise in Form einer Relation des Business-Outputs für jeden ausgegebenen Dollar und dem Zeitpunkt der Umsetzung.
## Ressourcen
**Zugehörige Dokumente:**
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [AWS-Fakturierungsstrategie mit mehreren Konten](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Steuern Sie den Zugang zu AWS-Regionen mit IAM-Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
# COST02-BP03 Implementieren einer Kontenstruktur
Implementieren Sie eine Kontenstruktur, die für Ihre Organisation geeignet ist. Dadurch werden die Zuweisung und Verwaltung der Kosten in der gesamten Organisation erleichtert.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
AWS verfügt über eine Kontostruktur mit einem übergeordneten Konto und vielen untergeordneten Konten, die auch als Kontostruktur mit Verwaltungskonto (übergeordnet, zuvor Zahlerkonto) und Kontomitgliedern (untergeordnet, zuvor verknüpftes Konto) bezeichnet wird. Eine bewährte Methode besteht darin, immer mindestens ein Verwaltungs- mit einem Mitgliedskonto zu haben, unabhängig von der Unternehmensgröße oder Nutzung. Alle Workload-Ressourcen sollten sich nur innerhalb von Mitgliedskonten befinden.
Es gibt keine einheitliche Antwort dazu, über wie viele AWS-Konten Sie verfügen sollten. Zunächst sollten Sie Ihre aktuellen und künftigen Betriebs- und Kostenmodelle bewerten, um sicherzustellen, dass die Struktur Ihrer AWS-Konten die Ziele Ihres Unternehmens repräsentiert. Einige Unternehmen erstellen aus geschäftlichen Gründen mehrere AWS-Konten, z. B.:
+ Es ist eine administrative und/oder fiskale und fakturierungsbezogene Abgrenzung zwischen Organisationseinheiten oder Kostenstellen oder spezifischen Workloads erforderlich.
+ AWS-Service-Limits wurden für bestimmte Workloads definiert.
+ Es besteht eine Anforderung für Isolierung und Trennung zwischen Workloads und Ressourcen.
Innerhalb von [AWS Organizations](https://aws.amazon.com/organizations/), [erstellt die konsolidierte Fakturierung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) das Konstrukt zwischen einem oder mehreren Mitgliedskonten und dem Managementkonto. Mit Mitgliedskonten können Sie Ihre Kosten und Nutzung nach Gruppen isolieren und unterscheiden. In diesem Kontext hat es sich bewährt, separate Mitgliedskonten für jede Organisationseinheit (z. B. Finanzen, Marketing und Vertrieb) oder für jeden Umgebungslebenszyklus (z. B. Entwicklung, Tests und Produktion) oder für jeden einzelnen Workload (Workload a, b und c) zu erstellen und diese verknüpften Konten dann über die konsolidierte Fakturierung zu aggregieren.
Mit der konsolidierten Fakturierung können Sie die Zahlung für mehrere AWS-Konten unter einem einzelnen Managementkonto konsolidieren und dabei weiterhin die Sichtbarkeit der Aktivitäten jedes verknüpften Kontos bereitstellen. Da Kosten und Nutzung im Managementkonto aggregiert werden, können Sie sowohl Ihre Service-Volumenrabatte als auch die Nutzung Ihrer an feste Kapazität gebundene Rabatte (Savings Plans und Reserved Instances) maximieren, und so die höchsten Vergünstigungen erzielen.
[AWS Control Tower](https://aws.amazon.com/controltower/) kann schnell mehrere AWS-Konten einrichten und konfigurieren, um sicherzustellen, dass Governance den Anforderungen Ihres Unternehmens entspricht.
**Implementierungsschritte**
+ **Definieren von Trennungsanforderungen: **Die Trennungsanforderungen sind eine Kombination aus mehreren Faktoren, darunter fallen Sicherheit, Zuverlässigkeit und finanzielle Konstrukte. Arbeiten Sie die einzelnen Faktoren in der richtigen Reihenfolge durch und geben Sie an, ob der Workload oder die Workload-Umgebung von anderen Workloads getrennt sein sollte. Die Sicherheitsmaßnahmen gewährleisten, dass Zugriffs- und Datenanforderungen erfüllt werden. Die Zuverlässigkeit stellt sicher, dass Limits verwaltet werden, sodass Umgebungen und Workloads keine Auswirkungen auf andere Elemente haben. Finanzkonstrukte stellen sicher, dass eine strikte finanzielle Trennung und Verantwortlichkeit besteht. Häufige Beispiele für die Trennung sind Produktions- und Test-Workloads, die in separaten Konten ausgeführt werden, oder die Verwendung eines separaten Kontos, sodass die Rechnungs- und Fakturierungsdaten einer Drittanbieterorganisation bereitgestellt werden können.
+ **Definieren von Gruppierungsanforderungen:** Die Anforderungen für die Gruppierung überschreiben die Trennungsanforderungen nicht, sondern dienen zur Unterstützung der Verwaltung. Gruppieren Sie ähnliche Umgebungen oder Workloads, die keine Trennung erfordern. Ein Beispiel hierfür ist die Gruppierung mehrerer Test- oder Entwicklungsumgebungen aus einem oder mehreren Workloads.
+ **Definieren der Kontenstruktur: **Geben Sie mit diesen Trennungen und Gruppierungen ein Konto für jede Gruppe an und stellen Sie sicher, dass die Trennungsanforderungen erfüllt werden. Diese Konten sind Ihre Mitgliedskonten oder verknüpfte Konten. Indem Sie diese Mitgliedskonten unter einem einzigen Management-/Zahlungskonto gruppieren, kombinieren Sie die Nutzung, was höhere Volumenrabatte für alle Konten ermöglicht und eine einzige Rechnung für alle Konten bereitstellt. Es ist möglich, Fakturierungsdaten zu trennen und jedem Mitgliedskonto eine individuelle Ansicht ihrer Fakturierungsdaten bereitzustellen. Definieren Sie mehrere Management-/Zahlungskoten, wenn die Nutzungs- oder Fakturierungsdaten eines Mitgliedskontos für kein anderes Konto sichtbar sein dürfen oder wenn eine separate Rechnung von AWS erforderlich ist. In diesem Fall hat jedes Mitgliedskonto ein eigenes Management-/Zahlungskonto. Ressourcen sollten immer in Mitgliedskonten oder verknüpften Konten platziert werden. Die Management-/Zahlungskonten sollten nur für die Verwaltung verwendet werden.
## Ressourcen
**Zugehörige Dokumente:**
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [AWS-Fakturierungsstrategie mit mehreren Konten](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Steuern Sie den Zugang zu AWS-Regionen mit IAM-Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Konsolidierte Fakturierung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)
**Zugehörige Beispiele:**
+ [Teilen des CUR und Freigabe des Zugangs](https://wellarchitectedlabs.com/Cost/Cost_and_Usage_Analysis/300_Splitting_Sharing_CUR_Access/README.html)
# COST02-BP04 Implementieren von Gruppen und Rollen
Implementieren Sie Gruppen und Rollen, die Ihren Richtlinien entsprechen, und steuern Sie, wer Instances und Ressourcen in jeder Gruppe erstellen, ändern oder außer Betrieb nehmen kann. Implementieren Sie beispielsweise Entwicklungs-, Test- und Produktionsgruppen. Dies gilt sowohl für AWS-Services als auch für Lösungen anderer Anbieter.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
Nachdem Sie Richtlinien entwickelt haben, können Sie logische Gruppen und Rollen von Benutzern innerhalb Ihrer Organisation erstellen. Auf diese Weise können Sie Berechtigungen zuweisen und die Nutzung steuern. Beginnen Sie mit allgemeinen Personengruppen. Dies entspricht in der Regel den Organisationseinheiten und Jobrollen (z. B. Systemadministrator in der IT-Abteilung oder Financial Controller). Den Gruppen treten Personen bei, die ähnliche Aufgaben ausführen und ähnlichen Zugriff benötigen. Rollen definieren, was eine Gruppe tun muss. Beispielsweise benötigt ein Systemadministrator in der IT Zugriff, um alle Ressourcen zu erstellen, aber ein Analyseteammitglied muss nur Analyseressourcen erstellen.
**Implementierungsschritte**
+ ** Implementieren von Gruppen: **Implementieren Sie bei Bedarf die entsprechenden Gruppen mithilfe der Benutzergruppen, die in Ihren Organisationsrichtlinien definiert sind. Bewährte Methoden für Benutzer, Gruppen und Authentifizierung finden Sie in der Säule der Sicherheit.
+ ** Implementieren von Rollen und Richtlinien: **Erstellen Sie mithilfe der Aktionen, die in Ihren Organisationsrichtlinien definiert sind, die erforderlichen Rollen und Zugriffsrichtlinien. Bewährte Methoden für Rollen und Richtlinien finden Sie in der Säule der Sicherheit.
## Ressourcen
**Zugehörige Dokumente:**
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [AWS-Fakturierungsstrategie mit mehreren Konten](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Steuern Sie den Zugang zu AWS-Regionen mit IAM-Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [Well-Architected: Säule „Sicherheit“](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)
**Zugehörige Beispiele:**
+ [Well-Architected Lab: grundlegende Identität und Zugriff](https://wellarchitectedlabs.com/Security/100_Basic_Identity_and_Access_Management_User_Group_Role/README.html)
# COST02-BP05 Implementieren von Kostenkontrollen
Implementieren Sie Kontrollmechanismen, die auf den Organisationsrichtlinien sowie auf definierten Gruppen und Rollen basieren. Damit wird sichergestellt, dass die Kosten den Rahmen der festgelegten Organisationsanforderungen nicht sprengen. Mithilfe von AWS Identity and Access Management-Richtlinien (IAM) können Sie beispielsweise den Zugriff auf Regionen oder Ressourcentypen steuern.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
Ein häufiger erster Schritt bei der Implementierung von Kostenkontrollen ist die Einrichtung von Benachrichtigungen, wenn Kosten- oder Nutzungsereignisse außerhalb der Richtlinien der Organisation auftreten. Auf diese Weise können Sie schnell agieren und überprüfen, ob Korrekturmaßnahmen erforderlich sind, ohne Workloads oder neue Aktivitäten einzuschränken oder negativ zu beeinflussen. Nachdem Sie die Workload- und Umgebungslimits kennen, können Sie Governance erzwingen. In AWS werden Benachrichtigungen mit AWS Budgets durchgeführt. So können Sie ein monatliches Budget für Ihre AWS-Kosten, die Nutzung und an feste Kapazität gebundene Rabatte (Savings Plans und Reserved Instances) definieren. Sie können Budgets auf aggregierter Kostenebene (z. B. alle Kosten) oder auf einer detaillierteren Ebene erstellen, in der Sie nur bestimmte Dimensionen wie verknüpfte Konten, Services, Tags oder Availability Zones einschließen.
In einem zweiten Schritt können Sie Governance-Richtlinien in AWS über [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM) und [AWS Organizations Service-Kontrollrichtlinien (Service Control Policies, SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)durchsetzen. Mit IAM können Sie den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. Mit IAM können Sie steuern, wer AWS-Ressourcen erstellen und verwalten kann, welche Art von Ressourcen erstellt werden kann und wo sie erstellt werden können. Dadurch wird die Erstellung von Ressourcen minimiert, die nicht erforderlich sind. Verwenden Sie die zuvor erstellten Rollen und Gruppen und weisen Sie [IAM-Richtlinien zu,](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) um die korrekte Nutzung zu erzwingen. SCP bietet eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für alle Konten in Ihrem Unternehmen und stellt sicher, dass Ihre Konten die Vorgaben Ihrer Zugriffskontrollrichtlinien erfüllen. SCPs sind nur in einem Unternehmen verfügbar, für das alle Funktionen aktiviert sind, und Sie können die SCPs so konfigurieren, dass sie Aktionen für Mitgliedskonten standardmäßig verweigern oder zulassen. Weitere Informationen zur Implementierung der Zugriffsverwaltung finden Sie im [Well-Architected Whitepaper zur Säule "Sicherheit"](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) .
Über die Verwaltung von Service Quotas können Sie außerdem Governance implementieren. Indem Sie sicherstellen, dass Service Quotas mit minimalem Overhead definiert und ordnungsgemäß verwaltet werden, können Sie die Ressourcenerstellung über die Geschäftsanforderungen hinaus minimieren. Dazu müssen Sie nachvollziehen, wie schnell sich Ihre Anforderungen ändern können. Sie müssen die derzeit ausgeführten Projekte kennen (in Bezug auf die Erstellung und die Deaktivierung von Ressourcen) und berücksichtigen, wie schnell Kontingentänderungen implementiert werden können. [Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html) können bei Bedarf verwendet werden, um Ihre Kontingente zu erhöhen.
**Implementierungsschritte**
+ ** Implementieren von Benachrichtigungen zu Ausgaben:** Erstellen Sie mithilfe Ihrer definierten Organisationsrichtlinien AWS-Budgets, um Benachrichtigungen zu erhalten, wenn Ausgaben außerhalb Ihrer Richtlinien liegen. Konfigurieren Sie mehrere Kostenbudgets, eines für jedes Konto, das Sie über die allgemeinen Kontoausgaben informiert. Konfigurieren Sie dann zusätzliche Kostenbudgets innerhalb jedes Kontos für kleinere Einheiten innerhalb des Kontos. Diese Einheiten variieren je nach Kontenstruktur. Einige gängige Beispiele sind AWS-Regionen, Workloads (mithilfe von Tags) oder AWS-Services. Stellen Sie sicher, dass Sie eine E-Mail-Verteilerliste als Empfänger für Benachrichtigungen konfigurieren und nicht das E-Mail-Konto einer Person. Sie können ein tatsächliches Budget für den Fall konfigurieren, dass ein Betrag überschritten wird, oder ein prognostiziertes Budget zur Benachrichtigung über die prognostizierte Nutzung verwenden.
+ ** Implementieren von Nutzungskontrollen: **Implementieren Sie mithilfe Ihrer definierten Organisationsrichtlinien IAM-Richtlinien und -Rollen, um anzugeben, welche Aktionen Benutzer ausführen und welche sie nicht ausführen können. In einer AWS-Richtlinie können mehrere Organisationsrichtlinien enthalten sein. Gehen Sie auf die gleiche Art und Weise vor, wie Sie Richtlinien definiert haben. Beginnen Sie umfassend und wenden dann bei jedem Schritt detailliertere Kontrollen an. Service Limits sind auch eine effektive Kontrolle der Nutzung. Implementieren Sie die richtigen Service Limits für alle Ihre Konten.
## Ressourcen
**Zugehörige Dokumente:**
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [AWS-Fakturierungsstrategie mit mehreren Konten](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Steuern Sie den Zugang zu AWS-Regionen mit IAM-Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
**Zugehörige Beispiele:**
+ [Well-Architected Labs: Steuerung der Kosten und Nutzung](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/100_2_Cost_and_Usage_Governance/README.html)
+ [Well-Architected Labs: Steuerung der Kosten und Nutzung](https://wellarchitectedlabs.com/Cost/Cost_Fundamentals/200_2_Cost_and_Usage_Governance/README.html)
# COST02-BP06 Verfolgen des Projektlebenszyklus
Verfolgen, bewerten und überprüfen Sie den Lebenszyklus von Projekten, Teams und Umgebungen, damit Sie keine unnötigen Ressourcen nutzen, für die Sie zahlen müssen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
Stellen Sie sicher, dass Sie den gesamten Lebenszyklus des Workloads überwachen. Auf diese Weise wird sichergestellt, dass Workloads oder Workload-Komponenten außer Betrieb genommen oder geändert werden können, wenn sie nicht mehr benötigt werden. Dies ist besonders nützlich, wenn Sie neue Services oder Funktionen veröffentlichen. Die vorhandenen Workloads und Komponenten werden zwar u. U. als in Gebrauch angezeigt, sollten aber außer Betrieb genommen werden, um Kunden auf den neuen Service umzuleiten. Beachten Sie frühere Phasen von Workloads – nachdem eine Workload in der Produktion ist, können vorherige Umgebungen außer Betrieb genommen oder stark reduziert werden, bis sie wieder benötigt werden.
AWS bietet eine Reihe von Verwaltungs- und Governance-Services, die Sie für die Entitätslebenszyklus-Verfolgung verwenden können. Sie können [AWS Config](https://aws.amazon.com/config/) oder [AWS Systems Manager](https://aws.amazon.com/systems-manager/) verwenden, um eine detaillierte Bestandsaufnahme Ihrer AWS-Ressourcen und -Konfiguration bereitzustellen. Es wird empfohlen, dass Sie diese mit Ihren vorhandenen Projekt- bzw. Asset-Verwaltungssystemen integrieren, um aktive Projekte und Produkte in Ihrem Unternehmen zu verfolgen. Durch die Kombination Ihres aktuellen Systems mit dem umfassenden Angebot an Ereignissen und Kennzahlen in AWS können Sie eine Ansicht mit signifikanten Lebenszyklus-Ereignissen aufbauen und Ressourcen proaktiv verwalten, um so unnötige Kosten zu reduzieren.
Siehe das [Well-Architected Whitepaper zur Säule für die betriebliche Exzellenz](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html) .
**Implementierungsschritte**
+ ** Durchführen von Workload-Überprüfungen: **Überprüfen Sie, wie in Ihren Organisationsrichtlinien definiert, Ihre vorhandenen Projekte. Der Aufwand für die Prüfung sollte proportional zum ungefähren Risiko, dem Wert oder den Kosten für die Organisation sein. Wichtige Bereiche, die in die Prüfung aufgenommen werden sollen, sind das Risiko eines Vorfalls oder eines Ausfalls, der Wert oder Beitrag für die Organisation (gemessen am Umsatz oder Ruf der Marke), die Kosten des Workloads (gemessen als Gesamtkosten für Ressourcen und Betriebskosten) und die Nutzung des Workloads (gemessen an der Anzahl der Ergebnisse der Organisation pro Zeiteinheit). Wenn sich diese Bereiche im Laufe des Lebenszyklus ändern, sind Anpassungen des Workloads erforderlich, z. B. die vollständige oder teilweise Außerbetriebnahme.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [AWS-Fakturierungsstrategie mit mehreren Konten](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Steuern Sie den Zugang zu AWS-Regionen mit IAM-Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)