# Governance
Um Ihre Kosten in der Cloud zu verwalten, müssen Sie Ihre Nutzung über die folgenden Governance-Bereiche verwalten:
**Topics**
+ [COST02-BP01 Entwickeln von Richtlinien auf Basis Ihrer Organisationsanforderungen](cost_govern_usage_policies.md)
+ [COST02-BP02 Implementieren von Zielen und Ergebnissen](cost_govern_usage_goal_target.md)
+ [COST02-BP03 Implementieren einer Kontenstruktur](cost_govern_usage_account_structure.md)
+ [COST02-BP04 Implementieren von Gruppen und Rollen](cost_govern_usage_groups_roles.md)
+ [COST02-BP05 Implementieren von Kostenkontrollen](cost_govern_usage_controls.md)
+ [COST02-BP06 Projektlebenszyklus verfolgen](cost_govern_usage_track_lifecycle.md)
# COST02-BP01 Entwickeln von Richtlinien auf Basis Ihrer Organisationsanforderungen
Entwickeln Sie Richtlinien, die definieren, wie Ressourcen von Ihrem Unternehmen verwaltet werden, und überprüfen Sie sie regelmäßig. Die Richtlinien sollten sich auch mit den Kostenaspekten der Ressourcen und Workloads befassen, einschließlich Erstellung, Änderung und Außerbetriebnahme während der gesamten Lebensdauer der Ressourcen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
Die Kenntnis der Kostentreiber in Ihrem Unternehmen ist für die effektive Verwaltung Ihrer Ausgaben und Nutzung und die Identifizierung von Kostenreduzierungsmöglichkeiten von entscheidender Bedeutung. Unternehmen betreiben in der Regel mehrere Workloads, die von mehreren Teams ausgeführt werden. Diese Teams können sich in verschiedenen Organisationseinheiten befinden, die jeweils über eigene Einnahmequellen verfügen. Die Möglichkeit, die Ressourcenkosten den Workloads, der jeweiligen Organisation oder den Produkteigentümern zuzuordnen, fördert ein effizientes Nutzungsverhalten und hilft, die Verschwendung von Ressourcen einzudämmen. Eine genaue Kosten- und Nutzungsüberwachung hilft Ihnen zu verstehen, wie optimiert ein Workload ist und wie profitabel Geschäftsbereiche und Produkte sind. Mit diesem Wissen können Sie fundiertere Entscheidungen dazu treffen, wo Ressourcen in Ihrem Unternehmen eingesetzt werden sollen. Das Bewusstsein der Nutzung auf allen Unternehmensebenen ist entscheidend für Veränderungen, da eine Änderung der Nutzung zu Kostenänderungen führt. Überlegen Sie sich, beim Ermitteln von Nutzungsmustern und Ausgaben einen mehrschichtigen Ansatz zu nutzen.
Der erste Schritt bei der Implementierung von Governance besteht darin, Richtlinien für die Cloud-Nutzung anhand der Anforderungen Ihres Unternehmens zu entwickeln. Diese Richtlinien definieren, wie Ihr Unternehmen die Cloud verwendet und wie Ressourcen verwaltet werden. Richtlinien sollten alle Aspekte von Ressourcen und Workloads abdecken, die sich auf Kosten oder Nutzung beziehen, einschließlich Erstellung, Änderung und Außerbetriebnahme über die Lebensdauer der Ressource. Überprüfen Sie, ob die Richtlinien und Verfahren bei jeder Änderung in einer Cloud-Umgebung eingehalten und umgesetzt werden. Stellen Sie bei Ihren IT-Änderungsmanagement-Meetings Fragen zu den Kostenauswirkungen geplanter Änderungen, ob die Kosten steigen oder sinken, zur geschäftlichen Rechtfertigung und zum erwarteten Ergebnis.
Richtlinien sollten einfach sein, damit sie leicht verständlich sind und im gesamten Unternehmen effektiv implementiert werden können. Richtlinien müssen außerdem leicht zu befolgen und zu interpretieren sein (damit sie angewendet werden können) sowie spezifisch sein (keine Fehlinterpretationen zwischen den Teams). Darüber hinaus müssen sie (wie unsere Mechanismen) regelmäßig überprüft und aktualisiert werden, wenn sich die Geschäftsbedingungen oder Prioritäten der Kunden ändern, wodurch die Richtlinie veraltet wäre.
Beginnen Sie mit umfangreichen allgemeinen Richtlinien, z. B. welche geografische Region verwendet werden soll oder zu welchen Tageszeiten Ressourcen ausgeführt werden sollen. Verfeinern Sie schrittweise die Richtlinien für die verschiedenen Organisationseinheiten und Workloads. Zu den allgemeinen Richtlinien gehört, welche Services und Funktionen verwendet werden können (z. B. Speicher mit niedrigerer Leistung in Test- und Entwicklungsumgebungen), welche Ressourcentypen von verschiedenen Gruppen verwendet werden können (z. B. ist die größte Ressource in einem Entwicklungskonto mittelgroß) und wie lange diese Ressourcen verwendet werden (ob vorübergehend, kurzfristig oder für einen bestimmten Zeitraum).
**Beispiele für Richtlinien**
Im Folgenden finden Sie eine Beispielrichtlinie, die Sie überprüfen können, um Ihre eigenen Cloud-Governance-Richtlinien zur Kostenoptimierung zu erstellen. Stellen Sie sicher, dass Sie die Richtlinien an die Anforderungen Ihres Unternehmens und die Anforderungen Ihrer Interessenvertreter anpassen.
+ **Richtlinienname:** Definieren Sie einen eindeutigen Namen für die Richtlinie, z. B. Richtlinie zur Ressourcenoptimierung und Kostenreduzierung.
+ **Zweck:** Erläutern Sie, warum diese Richtlinie angewendet werden sollte und was das erwartete Ergebnis ist. Mit dieser Richtlinie soll überprüft werden, ob für die Bereitstellung und Ausführung des gewünschten Workloads Mindestkosten anfallen, um die Geschäftsanforderungen zu erfüllen.
+ **Umfang:** Definieren Sie klar, wer diese Richtlinie verwenden soll und wann sie verwendet werden soll, z. B. DevOps X-Team für Kunden im Osten der USA für Umgebung X (Produktion oder Nicht-Produktion).
**Richtlinienanweisung**
1. Wählen Sie basierend auf der Umgebung Ihres Workloads und den Geschäftsanforderungen (Entwicklung, Benutzerakzeptanztests, Vorproduktion oder Produktion) entweder us-east-1 oder mehrere us-east-Regionen aus.
1. Planen Sie die Ausführung von Amazon-EC2- und Amazon-RDS-Instances zwischen sechs Uhr morgens und acht Uhr abends (Eastern Standard Time (EST)).
1. Stoppen Sie alle ungenutzten Amazon-EC2-Instances nach acht Stunden und nicht genutzte Amazon-RDS-Instances nach 24 Stunden Inaktivität.
1. Beenden Sie alle ungenutzten Amazon-EC2-Instances nach 24 Stunden Inaktivität in Nicht-Produktionsumgebungen. Erinnern Sie den Besitzer der Amazon-EC2-Instance (anhand von Tags) daran, seine gestoppten Amazon-EC2-Instances in der Produktion zu überprüfen, und teilen Sie ihm mit, dass seine Amazon-EC2-Instances innerhalb von 72 Stunden beendet werden, wenn sie nicht verwendet werden.
1. Verwenden Sie eine generische Instance-Familie und -größe wie m5.large und passen Sie dann die Größe der Instance anhand der CPU- und Speicherauslastung mithilfe von AWS Compute Optimizer an.
1. Priorisieren Sie mithilfe von Auto Scaling, um die Anzahl der ausgeführten Instances je nach Datenverkehr dynamisch anzupassen.
1. Verwenden Sie Spot-Instances für unkritische Workloads.
1. Prüfen Sie die Kapazitätsanforderungen, um Speicherpläne oder Reserved-Instances für vorhersehbare Workloads festzulegen, und informieren Sie das Cloud-Financial-Management-Team.
1. Verwenden Sie Amazon-S3-Lebenszyklusrichtlinien, um Daten, auf die selten zugegriffen wird, auf günstigere Speicherebenen zu verschieben. Wenn keine Aufbewahrungsrichtlinie definiert ist, verwenden Sie Amazon S3 Intelligent-Tiering, um Objekte automatisch auf die Archivebene zu verschieben.
1. Überwachen Sie die Ressourcenauslastung und richten Sie mithilfe von Amazon CloudWatch Alarme ein, um Skalierungsereignisse auszulösen.
1. Verwenden Sie für jedes AWS-Konto AWS Budgets, um die Kosten- und Nutzungsbudgets für Ihr Konto basierend auf Kostenstelle und Geschäftsbereichen festzulegen.
1. Indem Sie für Ihr Konto mithilfe von AWS Budgets Kosten- und Nutzungsbudgets festlegen, behalten Sie die Ausgaben im Blick und vermeiden unerwartete Rechnungen, was Ihnen eine bessere Kostenkontrolle ermöglicht.
**Verfahren: **Richten Sie detaillierte Verfahren für die Umsetzung dieser Richtlinie ein oder verweisen Sie auf andere Dokumente, in denen beschrieben wird, wie die einzelnen Grundsatzerklärungen umgesetzt werden. Dieser Abschnitt sollte schrittweise Anweisungen zur Erfüllung der Richtlinienanforderungen enthalten.
Zur Umsetzung dieser Richtlinie können Sie verschiedene Tools von Drittanbietern oder AWS Config-Regeln verwenden, um die Einhaltung der Richtlinienerklärung zu überprüfen und mithilfe von AWS Lambda-Funktionen automatische Abhilfemaßnahmen auszulösen. Sie können auch AWS Organizations verwenden, um die Richtlinie durchzusetzen. Darüber hinaus sollten Sie Ihre Ressourcennutzung regelmäßig überprüfen und die Richtlinie bei Bedarf anpassen, um sicherzustellen, dass sie weiterhin Ihren Geschäftsanforderungen entspricht.
## Implementierungsschritte
+ **Treffen mit Interessenvertretern:** Um Richtlinien zu entwickeln, bitten Sie die Interessenvertreter (Cloud-Geschäftsstellen, Techniker oder funktionale Entscheidungsträger für die Durchsetzung von Richtlinien) innerhalb Ihrer Organisation, ihre Anforderungen festzulegen und zu dokumentieren. Führen Sie einen iterativen Ansatz aus, indem Sie bei jedem Schritt umfassend beginnen und kontinuierlich auf die kleinsten Einheiten verfeinern. Zu den Teammitgliedern gehören Personen mit direktem Interesse am Workload, z. B. Organisationseinheiten oder Anwendungsbesitzer sowie unterstützende Gruppen wie Sicherheits- und Finanzteams.
+ **Bestätigung einholen:** Vergewissern Sie sich, dass sich diejenigen Teams auf Richtlinien einigen, die auf die AWS Cloud Zugriff haben und darin Bereitstellungen vornehmen können. Sorgen Sie dafür, dass sie die Richtlinien Ihres Unternehmens befolgen und stellen Sie sicher, dass ihre Ressourcenerstellung mit den vereinbarten Richtlinien und Verfahren übereinstimmt.
+ **Onboarding-Trainings veranstalten:** Fordern Sie neue Organisationmitglieder auf, Onboarding-Trainings zu absolvieren, um ein Kostenbewusstsein und ein Verständnis für die Organisationsanforderungen zu schaffen. Möglicherweise gehen neue Unternehmensmitarbeiter aufgrund ihrer bisherigen Erfahrungen von anderen Richtlinien aus oder denken überhaupt nicht daran.
+ **Festlegen der Speicherorte für Ihre Workload:** Definieren Sie, wo Ihre Workload ausgeführt wird, einschließlich des Landes und der Region innerhalb des Landes. Diese Informationen werden für die Zuweisung zu AWS-Regionen und Availability Zones verwendet.
+ **Definieren und Gruppieren von Services und Ressourcen:** Definieren Sie die Services, die für die Workloads erforderlich sind. Geben Sie für jeden Service die Typen, den Umfang und die Anzahl der erforderlichen Ressourcen an. Definieren Sie Gruppen für die Ressourcen nach Funktion, z. B. Anwendungsserver oder Datenbankspeicher. Ressourcen können mehreren Gruppen angehören.
+ **Definieren und Gruppieren der Benutzer nach Funktion:** Definieren Sie die Benutzer, die mit der Workload interagieren, und konzentrieren Sie sich darauf, was sie tun und wie sie die Workload verwenden, nicht auf die Benutzer oder ihre Position in der Organisation. Fassen Sie ähnliche Benutzer oder Funktionen in einer Gruppe zusammen. Sie können die von AWS verwalteten Richtlinien als Leitfaden verwenden.
+ **Definieren der Aktionen:** Definieren Sie mithilfe der zuvor identifizierten Standorte, Ressourcen und Benutzer die Aktionen, die von jedem benötigt werden, um die Workload-Ergebnisse über die Lebensdauer (Entwicklung, Betrieb und Außerbetriebnahme) zu erzielen. Identifizieren Sie die Aktionen an jedem Standort basierend auf den Gruppen, nicht auf den einzelnen Elementen in den Gruppen. Beginnen Sie umfassend mit Lese- oder Schreibvorgängen und verfeinern Sie dann auf bestimmte Aktionen für jeden Service.
+ **Definieren des Überprüfungszeitraums:** Workloads und Organisationsanforderungen können sich im Laufe der Zeit ändern. Definieren Sie den Zeitplan für die Überprüfung des Workloads, um sicherzustellen, dass er mit den Prioritäten der Organisation übereinstimmt.
+ **Dokumentieren der Richtlinien:** Stellen Sie sicher, dass auf die definierten Richtlinien zugegriffen werden kann, wie von Ihrer Organisation gefordert. Diese Richtlinien werden verwendet, um den Zugriff auf Ihre Umgebungen zu implementieren, zu verwalten und zu prüfen.
## Ressourcen
**Zugehörige Dokumente:**
+ [Änderungsmanagement in der Cloud](https://docs.aws.amazon.com/whitepapers/latest/change-management-in-the-cloud/change-management-in-cloud.html)
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [AWS-Fakturierungsstrategie mit mehreren Konten](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html)
+ [Verwaltung und Governance in AWS](https://aws.amazon.com/products/management-and-governance/)
+ [Steuern des Zugriffs auf AWS-Regionen mit IAM-Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [Globale Infrastrukturregionen und -AZs](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)
**Zugehörige Videos:**
+ [AWS Management and Governance at Scale](https://www.youtube.com/watch?v=xdJSUnPcPPI)
# COST02-BP02 Implementieren von Zielen und Ergebnissen
Implementieren Sie Kosten- und Nutzungsziele sowie Vorgaben für Ihre Workload. Ziele geben Ihrer Organisation die Richtung für die erwarteten Ergebnisse vor, und Vorgaben geben spezifische, messbare Ergebnisse vor, die für Ihre Workloads erreicht werden sollen.
**Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Hoch
## Implementierungsleitfaden
Entwickeln Sie Kosten- und Nutzungsziele sowie Vorgaben für Ihre Organisation. Als wachsende Organisation mit AWS ist es für Sie wichtig, Ziele zur Kostenoptimierung zu setzen und diese zu verfolgen. Diese Ziele oder wichtigen Leistungsindikatoren ([Key Performance Indicators, KPIs](https://aws.amazon.com/blogs/aws-cloud-financial-management/unit-metric-the-touchstone-of-your-it-planning-and-evaluation/)) können Dinge wie den Prozentsatz der Bedarfsausgaben oder die Einführung bestimmter optimierter Services wie AWS-Graviton-Instances oder gp3-EBS-Volumetypen umfassen. Legen Sie messbare und erreichbare Ziele fest, anhand derer Sie Effizienzverbesserungen bewerten können, was für den Geschäftsbetrieb wichtig ist. Ziele bieten Ihrer Organisation richtungsweisende Anleitungen hinsichtlich der erwarteten Ergebnisse.
Vorgaben bieten spezifische messbare Ergebnisse, die erreicht werden müssen. Kurz gesagt: Ein Ziel ist die Richtung, in die Sie gehen wollen, und die Vorgabe ist, wie weit Sie in diese Richtung gehen und wann dieses Ziel erreicht werden soll (verwenden Sie die SMART-Orientierungshilfe (Specific, Measurable, Assignable, Realistic, and Timely), d. h. spezifische, messbare, zuweisbare, realistische und zeitgerechte Ziele). Ein Beispiel für ein Ziel ist, dass die Nutzung der Plattform deutlich steigen soll, wobei die Kosten nur geringfügig (nicht linear) steigen sollen. Ein Beispiel für eine Vorgabe ist eine Steigerung der Plattformnutzung um 20 % bei einem Kostenanstieg von weniger als fünf Prozent. Ein weiteres häufiges Ziel ist, dass Workloads alle sechs Monate effizienter werden müssen. Die damit verbundene Vorgabe wäre, dass die Kosten pro Geschäftsmetrik alle 6 Monate um 5 Prozent sinken müssen. Verwenden Sie die richtigen Metriken und legen Sie berechnete KPIs für Ihre Organisation fest. Sie können mit grundlegenden KPIs beginnen und diese später je nach Geschäftsanforderungen weiterentwickeln.
Ein Ziel der Kostenoptimierung besteht darin, die Workload-Effizienz zu erhöhen, also die Kosten pro Geschäftsergebnis der Workload im Laufe der Zeit zu senken. Implementieren Sie dieses Ziel für alle Workloads und legen Sie als Vorgabe beispielsweise eine 5-prozentige Steigerung der Effizienz alle 6 Monate bis zu 1 Jahr fest. In der Cloud können Sie dies durch den Aufbau von Funktionen zur Kostenoptimierung sowie durch neue Service- und Feature-Releases erreichen.
Vorgaben sind die quantifizierbaren Benchmarks, die Sie anstreben, um Ihre Ziele zu erreichen, und mithilfe von Benchmarks werden die tatsächlichen Ergebnisse mit einer Vorgabe verglichen. Erstellen Sie Benchmarks mit KPIs für die Kosten pro Einheit von Computing-Services (wie Spot-Einführung, Graviton-Einführung, neueste Instance-Typen und On-Demand-Abdeckung), Speicherdiensten (wie EBS GP3-Einführung, überholte EBS-Snapshots und Speicher von Amazon S3 Standard) oder die Nutzung von Datenbank-Services (wie RDS-Open-Source-Engines, Graviton-Einführung und On-Demand-Abdeckung). Mithilfe dieser Benchmarks und KPIs können Sie überprüfen, ob Sie AWS-Services auf die kostengünstigste Weise nutzen.
Die folgende Tabelle enthält eine Liste von AWS-Standardmetriken als Referenz. Jede Organisation kann unterschiedliche Zielwerte für diese KPIs haben.
| Kategorie | KPI (%) | Beschreibung |
| --- | --- | --- |
| Datenverarbeitung | EC2-Nutzungsabdeckung | EC2-Instances (in Kosten oder Stunden), die SP\$1RI\$1Spot verwenden, im Vergleich zur Gesamtzahl (in Kosten oder Stunden) der EC2-Instances |
| Datenverarbeitung | Berechnung der SP/RI-Auslastung | Die genutzten SP- oder RI-Stunden im Vergleich zur Gesamtzahl der verfügbaren SP- oder RI-Stunden |
| Datenverarbeitung | EC2/Kosten pro Stunde | EC2-Kosten geteilt durch die Anzahl der EC2-Instances, die in dieser Stunde ausgeführt wurden |
| Datenverarbeitung | vCPU-Kosten | Kosten pro vCPU für alle Instances |
| Datenverarbeitung | Aktuelle Instance-Generation | Prozentsatz der Instances in Graviton (oder anderen Instance-Typen der modernen Generation) |
| Datenbank | RDS-Abdeckung | RDS-Instances (in Kosten oder Stunden), die RI verwenden, im Vergleich zur Gesamtzahl (in Kosten oder Stunden) der RDS-Instances |
| Datenbank | RDS-Nutzung | Die RI-Stunden im Vergleich zur Gesamtzahl der verfügbaren RI-Stunden |
| Datenbank | RDS-Betriebszeit | RDS-Kosten geteilt durch die Anzahl der RDS-Instances, die in dieser Stunde ausgeführt wurden |
| Datenbank | Aktuelle Instance-Generation | Prozentsatz der Instances in Graviton (oder anderen modernen Instance-Typen) |
| Speicher | Speichernutzung | Optimierte Speicherkosten (z. B. Glacier, Deep Archive oder Infrequent Access) geteilt durch die Gesamtspeicherkosten |
| Tagging | Ressourcen ohne Tags | Cost Explorer: 1. Filtern Sie Gutschriften, Rabatte, Steuern, Rückerstattungen und Marketplace heraus und kopieren Sie die aktuellen Monatskosten. 2. Wählen Sie in Cost Explorer die Option **Nur Ressourcen ohne Tag anzeigen** aus. 3. Teilen Sie den Betrag in **Ressourcen ohne Tags** durch Ihre monatlichen Kosten. |
Geben Sie anhand dieser Tabelle die Ziel- oder Benchmarkwerte an, die auf der Grundlage Ihrer Organisationsziele berechnet werden sollten. Sie müssen bestimmte Metriken für Ihr Unternehmen messen und die Geschäftsergebnisse für diese Workload verstehen, um genaue und realistische KPIs definieren zu können. Unterscheiden Sie bei der Bewertung von Leistungsmetriken innerhalb einer Organisation zwischen verschiedenen Arten von Metriken, die unterschiedlichen Zwecken dienen. Mit diesen Metriken werden in erster Linie die Leistung und Effizienz der technischen Infrastruktur und nicht direkt die allgemeinen Auswirkungen auf das Geschäft gemessen. Es können beispielsweise die Reaktionszeiten des Servers, die Netzwerklatenz oder die Systemverfügbarkeit verfolgt werden. Diese Metriken sind entscheidend, um zu bewerten, wie gut die Infrastruktur den technischen Betrieb der Organisation unterstützt. Sie bieten jedoch keinen direkten Einblick in umfassendere Geschäftsziele wie Kundenzufriedenheit, Umsatzwachstum oder Marktanteil. Um ein umfassendes Verständnis der Unternehmensleistung zu erhalten, ergänzen Sie diese Effizienzmetriken durch strategische Geschäftsmetriken, die direkt mit den Geschäftsergebnissen korrelieren.
Verschaffen Sie sich einen Überblick nahezu in Echtzeit über Ihre KPIs und die damit verbundenen Einsparmöglichkeiten und verfolgen Sie Ihre Fortschritte im Laufe der Zeit. Um mit der Definition und Verfolgung von KPI-Zielen zu beginnen, empfehlen wir das KPI-Dashboard von [Cloud Intelligence Dashboards](https://wellarchitectedlabs.com/cloud-intelligence-dashboards/) (CID). Basierend auf den Daten aus dem Kosten- und Nutzungsbericht (CUR) bietet das KPI-Dashboard eine Reihe von empfohlenen KPIs zur Kostenoptimierung an. Außerdem können Sie benutzerdefinierte Ziele festlegen und den Fortschritt im Laufe der Zeit verfolgen.
Wenn Sie die KPI-Ziele mit anderen Lösungen festlegen und verfolgen, achten Sie darauf, dass diese Methoden von allen Stakeholdern im Cloud-Finanzmanagement in Ihrer Organisation übernommen werden.
### Implementierungsschritte
+ **Definieren der erwarteten Nutzungsgrade:** Konzentrieren Sie sich zu Beginn auf die Nutzungsgrade. Sprechen Sie mit den Anwendungsbesitzern, der Marketingabteilung und größeren Geschäftsteams, um zu verstehen, wie die erwartete Nutzung für die Workload aussieht. Wie könnte sich die Kundennachfrage im Laufe der Zeit ändern und was kann sich aufgrund saisonaler Anstiege oder Marketingkampagnen ändern?
+ **Definieren von Ressourcen und Kosten für Workloads:** Mit den definierten Nutzungsgraden quantifizieren Sie die Änderungen der Workload-Ressourcen, die erforderlich sind, um diese Nutzungsgrade zu erfüllen. Möglicherweise müssen Sie den Umfang oder die Anzahl der Ressourcen für eine Workload-Komponente und die Datenübertragung erhöhen oder Workload-Komponenten in einen anderen Service auf einer bestimmten Ebene ändern. Geben Sie die Kosten an jedem dieser Hauptpunkte an und prognostizieren Sie die Kostenänderung, wenn sich die Nutzung ändert.
+ **Definieren von Geschäftszielen:** Nehmen Sie die Ergebnisse zu den erwarteten Änderungen bei Nutzung und Kosten, kombinieren Sie sie mit den erwarteten Änderungen bei der Technologie oder sonstigen Programmen, die Sie ausführen, und entwickeln Sie Ziele für die Workload. Die Ziele müssen Nutzung und Kosten sowie das Verhältnis zwischen beiden berücksichtigen. Die Ziele müssen einfach und allgemein gehalten sein und den Mitarbeitern helfen zu verstehen, was das Unternehmen an Ergebnissen erwartet (z. B. sicherzustellen, dass ungenutzte Ressourcen unter einem bestimmten Kostenniveau gehalten werden). Sie müssen nicht für jeden ungenutzten Ressourcentyp Ziele definieren oder Kosten festlegen, die Verluste für Ziele und Vorgaben verursachen können. Überprüfen Sie, ob es organisatorische Programme gibt (z. B. Kompetenzaufbau wie Schulungen und Fortbildungen), wenn Kostenänderungen ohne veränderte Nutzung zu erwarten sind.
+ **Definieren der Ergebnisse:** Geben Sie für jedes der definierten Ziele ein messbares Ergebnis an. Wenn das Ziel darin besteht, die Effizienz der Workload zu erhöhen, sollte mit der Vorgabe der Umfang der Verbesserung (in der Regel in Form von Geschäftsergebnissen für jeden ausgegebenen Dollar) und der Zeitpunkt der Erreichung dieses Ziels angegeben werden. Sie könnten sich zum Beispiel das Ziel setzen, Verschwendung aufgrund einer Überversorgung zu minimieren. Bei diesem Ziel kann Ihre Vorgabe darin bestehen, dass die Verschwendung aufgrund einer zu hohen Datenverarbeitungsleistung in der ersten Stufe der Produktionsworkloads 10 Prozent der Datenverarbeitungskosten auf dieser Stufe nicht überschreiten sollte. Darüber hinaus könnte eine zweite Vorgabe darin bestehen, dass die Verschwendung aufgrund einer zu hohen Datenverarbeitungsleistung in der zweiten Stufe der Produktionsworkloads 5 Prozent der Datenverarbeitungskkosten auf dieser Stufe nicht überschreiten sollte.
## Ressourcen
**Zugehörige Dokumente:**
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [AWS-Fakturierungsstrategie mit mehreren Konten](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Steuern des Zugriffs auf AWS-Regionen mit IAM-Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [S.M.A.R.T.-Ziele](https://en.wikipedia.org/wiki/SMART_criteria)
+ [How to track your cost optimization KPIs with the CID KPI Dashboard](https://aws.amazon.com/blogs/aws-cloud-financial-management/how-to-track-your-cost-optimization-kpis-with-the-kpi-dashboard/)
**Zugehörige Videos:**
+ [Well-Architected Labs: Goals and Targets (Level 100)](https://catalog.workshops.aws/well-architected-cost-optimization/en-US/2-expenditure-and-usage-awareness/150-goals-and-targets)
**Zugehörige Beispiele:**
+ [What is a unit metric](https://aws.amazon.com/blogs/aws-cloud-financial-management/what-is-a-unit-metric/)?
+ [Selecting a unit metric to support your business](https://aws.amazon.com/blogs/aws-cost-management/selecting-a-unit-metric-to-support-your-business/)
+ [Unit metrics in practice – lessons learned](https://aws.amazon.com/blogs/aws-cost-management/unit-metrics-in-practice-lessons-learned/)
+ [How unit metrics help create alignment between business functions](https://aws.amazon.com/blogs/aws-cost-management/unit-metrics-help-create-alignment-between-business-functions/)
# COST02-BP03 Implementieren einer Kontenstruktur
Implementieren Sie eine Kontenstruktur, die für Ihre Organisation geeignet ist. Dadurch werden die Zuweisung und Verwaltung der Kosten in der gesamten Organisation erleichtert.
**Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Hoch
## Implementierungsleitfaden
Mit AWS Organizations können Sie mehrere AWS-Konten erstellen und so Ihre Umgebung zentral verwalten, wenn Sie Workloads in AWS skalieren. Sie können Ihre Organisationshierarchie modellieren, indem Sie AWS-Konten in einer Struktur von Organisationseinheiten (OEs) gruppieren und mehrere AWS-Konten in jeder OE erstellen. Um eine Kontostruktur zu erstellen, müssen Sie zuerst entscheiden, welches Ihrer AWS-Konten das Verwaltungskonto sein soll. Danach können Sie auf Grundlage der geplanten Kontostruktur neue AWS-Konten erstellen oder vorhandene Konten als Mitgliedskonten auswählen. Beachten Sie dabei [bewährte Methoden für Verwaltungskonten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) und für [Mitgliedskonten](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html).
Sie sollten immer mindestens ein Verwaltungskonto mit einem verknüpften Mitgliedskonto haben, unabhängig von der Organisationsgröße oder Nutzung. Alle Workload-Ressourcen sollten sich nur in Mitgliedskonten befinden. In Verwaltungskonten sollten keine Ressourcen erstellt werden. Es gibt keine einheitliche Antwort darauf, über wie viele AWS-Konten Sie verfügen sollten. Zunächst sollten Sie Ihre aktuellen und künftigen Betriebs- und Kostenmodelle bewerten, um sicherzustellen, dass die Struktur Ihrer AWS-Konten die Ziele Ihrer Organisation widerspiegelt. Einige Organisationen erstellen aus geschäftlichen Gründen mehrere AWS-Konten, z. B.:
+ Es ist eine administrative oder fiskale und fakturierungsbezogene Abgrenzung zwischen Organisationseinheiten, Kostenstellen oder spezifischen Workloads erforderlich.
+ AWS-Service-Limits wurden für bestimmte Workloads definiert.
+ Es besteht eine Anforderung für Isolierung und Trennung zwischen Workloads und Ressourcen.
Innerhalb von [AWS Organizations](https://aws.amazon.com/organizations/) erstellt die [konsolidierte Fakturierung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) das Konstrukt zwischen einem oder mehreren Mitgliedskonten und dem Verwaltungskonto. Mit Mitgliedskonten können Sie Ihre Kosten und Nutzung nach Gruppen isolieren und unterscheiden. In diesem Kontext hat es sich bewährt, separate Mitgliedskonten für jede Organisationseinheit (z. B. Finanzen, Marketing und Vertrieb) oder für jeden Umgebungslebenszyklus (z. B. Entwicklung, Tests und Produktion) oder für jede einzelne Workload (Workload a, b und c) zu erstellen und diese verknüpften Konten dann über die konsolidierte Fakturierung zu aggregieren.
Mit der konsolidierten Fakturierung können Sie die Zahlung für mehrere AWS-Konten unter einem einzelnen Verwaltungskonto konsolidieren und dabei weiterhin die Sichtbarkeit für die Aktivitäten jedes verknüpften Kontos bereitstellen. Da Kosten und Nutzung im Verwaltungskonto aggregiert werden, können Sie sowohl Ihre Service-Volume-Rabatte als auch die Nutzung Ihrer an feste Kapazität gebundene Rabatte (Savings Plans und Reserved Instances) maximieren und so die höchsten Vergünstigungen erzielen.
Im folgenden Diagramm wird gezeigt, wie Sie AWS Organizations mit Organisationseinheiten (OEs) verwenden können, um mehrere Konten zu gruppieren und mehrere AWS-Konten unter jeder OE zu platzieren. Sie sollten OEs für unterschiedliche Anwendungsfälle und Workloads verwenden, die Muster für die Organisation von Konten vorgeben.
![\[Baumdiagramm, das zeigt, wie mehrere Konten unter Organisationseinheiten gruppiert werden\]](http://docs.aws.amazon.com/de_de/wellarchitected/latest/cost-optimization-pillar/images/aws-organizations-ou-grouping.png)
[AWS Control Tower](https://aws.amazon.com/controltower/) kann schnell mehrere AWS-Konten einrichten und konfigurieren, um sicherzustellen, dass die Governance den Anforderungen Ihrer Organisation entspricht.
**Implementierungsschritte**
+ **Definieren von Trennungsanforderungen:** Die Trennungsanforderungen sind eine Kombination aus mehreren Faktoren, darunter fallen Sicherheit, Zuverlässigkeit und finanzielle Konstrukte. Arbeiten Sie die einzelnen Faktoren in der richtigen Reihenfolge durch und geben Sie an, ob die Workload oder die Workload-Umgebung von anderen Workloads getrennt sein sollte. Bei der Sicherheit steht die Einhaltung der Anforderungen an Zugriff und Daten im Vordergrund. Zuverlässigkeit bezieht sich auf die Verwaltung von Limits, sodass Umgebungen und Workloads keine Auswirkungen auf andere Elemente haben. Gehen Sie die Säulen „Sicherheit“ und „Zuverlässigkeit“ des Well-Architected-Framework regelmäßig durch und halten Sie sich an die angegebenen bewährten Methoden. Finanzielle Konstrukte schaffen eine strikte Trennung im Bereich der Finanzen (verschiedene Kostenstellen, Verantwortlichkeiten für die Workloads und Rechenschaftspflicht). Häufige Beispiele für die Trennung sind Produktions- und Test-Workloads, die in separaten Konten ausgeführt werden, oder die Verwendung eines separaten Kontos, sodass die Rechnungs- und Fakturierungsdaten den verschiedenen Organisationseinheiten oder Abteilungen in der Organisation oder dem Stakeholder bereitgestellt werden können, dem das Konto gehört.
+ **Definieren von Gruppierungsanforderungen:** Die Anforderungen für die Gruppierung überschreiben die Trennungsanforderungen nicht, sondern dienen zur Unterstützung der Verwaltung. Gruppieren Sie ähnliche Umgebungen oder Workloads, die keine Trennung erfordern. Ein Beispiel hierfür ist die Gruppierung mehrerer Test- oder Entwicklungsumgebungen aus einer oder mehreren Workloads.
+ **Definieren der Kontenstruktur:** Geben Sie mit diesen Trennungen und Gruppierungen ein Konto für jede Gruppe an und stellen Sie sicher, dass die Trennungsanforderungen erfüllt werden. Diese Konten sind Ihre Mitgliedskonten oder verknüpfte Konten. Indem Sie diese Mitgliedskonten unter einem einzigen Verwaltungs-/Zahlungskonto gruppieren, kombinieren Sie die Nutzung. Dies ermöglicht höhere Mengenrabatte für alle Konten und Sie erhalten eine gemeinsame Rechnung für alle Konten. Es ist möglich, Fakturierungsdaten zu trennen und jedem Mitgliedskonto eine individuelle Ansicht ihrer Fakturierungsdaten bereitzustellen. Definieren Sie mehrere Verwaltungs-/Zahlungskonten, wenn die Nutzungs- oder Fakturierungsdaten eines Mitgliedskontos für kein anderes Konto sichtbar sein dürfen oder wenn eine separate Rechnung von AWS erforderlich ist. In diesem Fall hat jedes Mitgliedskonto ein eigenes Verwaltungs-/Zahlungskonto. Ressourcen sollten immer in Mitgliedskonten oder verknüpften Konten platziert werden. Die Verwaltungs-/Zahlungskonten sollten nur für die Verwaltung verwendet werden.
## Ressourcen
**Zugehörige Dokumente:**
+ [Verwendung von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [AWS-Fakturierungsstrategie mit mehreren Konten](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Steuern des Zugriffs auf AWS-Regionen mit IAM-Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ Bewährte Methoden für [Verwaltungskonten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) und [Mitgliedskonten](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)
+ [Organisieren Sie Ihre AWS-Umgebung mit mehreren Konten](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)
+ [Aktivieren von geteilten reservierten Instances und Savings Plans-Rabatten](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-turn-on-process.html)
+ [Konsolidierte Fakturierung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)
+ [Konsolidierte Fakturierung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)
**Zugehörige Beispiele:**
+ [Splitting the CUR and Sharing Access](https://wellarchitectedlabs.com/Cost/Cost_and_Usage_Analysis/300_Splitting_Sharing_CUR_Access/README.html)
**Zugehörige Videos:**
+ [Introducing AWS Organizations](https://www.youtube.com/watch?v=T4NK8fv8YdI)
+ [Set Up a Multi-Account AWS Environment that Uses Best Practices for AWS Organizations](https://www.youtube.com/watch?v=uOrq8ZUuaAQ)
**Zugehörige Beispiele:**
+ [Defining an AWS Multi-Account Strategy for telecommunications companies](https://aws.amazon.com/blogs/industries/defining-an-aws-multi-account-strategy-for-telecommunications-companies/)
+ [Best Practices for Optimizing AWS-Konten](https://aws.amazon.com/blogs/architecture/new-whitepaper-provides-best-practices-for-optimizing-aws-accounts/)
+ [Best Practices for Organizational Units with AWS Organizations](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/?org_product_gs_bp_OUBlog)
# COST02-BP04 Implementieren von Gruppen und Rollen
Implementieren Sie Gruppen und Rollen, die Ihren Richtlinien entsprechen, und steuern Sie, wer Instances und Ressourcen in jeder Gruppe erstellen, ändern oder außer Betrieb nehmen kann. Implementieren Sie beispielsweise Entwicklungs-, Test- und Produktionsgruppen. Dies gilt sowohl für AWS-Services als auch für Lösungen anderer Anbieter.
**Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Niedrig
## Implementierungsleitfaden
Benutzerrollen und -gruppen sind grundlegende Bausteine bei der Entwicklung und Implementierung sicherer und effizienter Systeme. Rollen und Gruppen helfen Organisationen dabei, den Bedarf an Kontrolle mit den Anforderungen an Flexibilität und Produktivität in Einklang zu bringen, um letztlich die Organisationsziele und die Bedürfnisse der Benutzer zu unterstützen. Wie im Abschnitt [Identity and Access Management](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) der Säule „Sicherheit“ des AWS Well-Architected Framework empfohlen, benötigen Sie eine robuste Identitätsverwaltung und Berechtigungen, um den richtigen Personen unter den richtigen Bedingungen Zugriff auf die richtigen Ressourcen zu gewähren. Die Benutzer erhalten nur den Zugriff, den sie zur Erfüllung ihrer Aufgaben benötigen. Auf diese Weise wird das Risiko eines nicht autorisierten Zugriffs oder Missbrauchs minimiert.
Nachdem Sie Richtlinien entwickelt haben, können Sie logische Gruppen und Rollen von Benutzern innerhalb Ihrer Organisation erstellen. Auf diese Weise können Sie Berechtigungen zuweisen, die Nutzung kontrollieren und robuste Zugriffskontrollmechanismen implementieren, die den nicht autorisierten Zugriff auf sensible Informationen verhindern. Beginnen Sie mit allgemeinen Personengruppen. Dies entspricht in der Regel den Organisationseinheiten und beruflichen Rollen (z. B. ein Systemadministrator in der IT-Abteilung, ein Financial Controller oder ein Geschäftsanalyst). Den Gruppen treten Personen bei, die ähnliche Aufgaben ausführen und ähnlichen Zugriff benötigen. Rollen definieren, was eine Gruppe tun muss. Es ist einfacher, Berechtigungen für Gruppen und Rollen zu verwalten als für einzelne Benutzer. Rollen und Gruppen weisen allen Benutzern konsistent und systematisch Berechtigungen zu und verhindern so Fehler und Inkonsistenzen.
Wenn sich die Rolle eines Benutzers ändert, können Administratoren den Zugriff auf Rollen- oder Gruppenebene anpassen, anstatt einzelne Benutzerkonten neu zu konfigurieren. Beispielsweise benötigt ein Systemadministrator in der IT Zugriff, um alle Ressourcen zu erstellen, aber ein Analytikteammitglied muss nur Analytikressourcen erstellen.
### Implementierungsschritte
+ **Implementieren von Gruppen:** Implementieren Sie bei Bedarf die entsprechenden Gruppen mithilfe der in Ihren Organisationsrichtlinien definierten Benutzergruppen. Bewährte Methoden für Benutzer, Gruppen und Authentifizierung finden Sie unter der [Säule „Sicherheit“](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) des AWS Well-Architected Framework.
+ **Implementieren von Rollen und Richtlinien:** Erstellen Sie mithilfe der Aktionen, die in Ihren Organisationsrichtlinien definiert sind, die erforderlichen Rollen und Zugriffsrichtlinien. Bewährte Methoden zu Rollen und Richtlinien finden Sie unter der [Säule „Sicherheit“](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) des AWS Well-Architected Framework.
## Ressourcen
**Zugehörige Dokumente:**
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/iam/latest/UserGuide/access_policies_job-functions.html)
+ [AWS-Fakturierungsstrategie mit mehreren Konten](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Säule „Sicherheit“ des AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)
+ [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)
+ [AWS Identity and Access Management-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)
**Zugehörige Videos:**
+ [Why use Identity and Access Management ](https://www.youtube.com/watch?v=SXSqhTn2DuE)
**Zugehörige Beispiele:**
+ [Steuern des Zugriffs auf AWS-Regionen mit IAM-Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [Starting your Cloud Financial Management journey: Cloud cost operations ](https://aws.amazon.com/blogs/aws-cloud-financial-management/op-starting-your-cloud-financial-management-journey/)
# COST02-BP05 Implementieren von Kostenkontrollen
Implementieren Sie Kontrollmechanismen, die auf den Organisationsrichtlinien sowie auf definierten Gruppen und Rollen basieren. Damit wird sichergestellt, dass nur Kosten im Rahmen der festgelegten Organisationsanforderungen anfallen, z. B. durch Steuerung des Zugriffs auf Regionen oder Ressourcentypen.
**Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Mittel
## Implementierungsleitfaden
Ein häufiger erster Schritt bei der Implementierung von Kostenkontrollen ist die Einrichtung von Benachrichtigungen, wenn im Zusammenhang mit Kosten oder Nutzung Ereignisse auftreten, die den Richtlinien nicht entsprechen. Auf diese Weise können Sie schnell agieren und überprüfen, ob Korrekturmaßnahmen erforderlich sind, ohne dass Workloads oder neue Aktivitäten eingeschränkt oder beeinträchtigt werden. Nachdem Sie die Limits für Workloads und Umgebung kennen, können Sie Governance durchsetzen. Mit [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/) lassen sich Benachrichtigungen festlegen und monatliche Budgets für AWS-Kosten, Nutzung und an feste Kapazität gebundene Rabatte definieren (Savings Plans und Reserved Instances). Sie können Budgets auf aggregierter Kostenebene (z. B. alle Kosten) oder auf einer detaillierteren Ebene erstellen, in der Sie nur bestimmte Dimensionen wie verknüpfte Konten, Services, Tags oder Availability Zones einschließen.
Wenn Sie die Budgetlimits mit AWS Budgets eingerichtet haben, können Sie mit [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/) unerwartete Kosten reduzieren. AWS Cost Anomaly Detection ist ein Kostenmanagementservice, der mithilfe von Machine Learning Ihre Kosten und Nutzung ständig überwacht, um ungewöhnliche Ausgaben zu erkennen. So können Sie untypische Ausgaben und ihre Ursachen schnell identifizieren und so schnell Maßnahmen ergreifen. Erstellen Sie zuerst eine Kostenüberwachung in AWS Cost Anomaly Detection und wählen Sie dann aus, wann Sie gewarnt werden möchten. Hierzu richten Sie einen Schwellenwert in Dollar ein und können sich z. B. bei Unregelmäßigkeiten benachrichtigen lassen, deren Auswirkungen 1.000 \$1 überschreiten. Wenn Sie Warnungen erhalten, können Sie die Ursachen hinter den Unregelmäßigkeiten und deren wirtschaftliche Auswirkungen analysieren. Sie können Unregelmäßigkeiten in AWS Cost Explorer auch selbst überwachen und analysieren.
Setzen Sie Governance-Richtlinien in AWS durch [AWS Identity and Access Management](https://aws.amazon.com/iam/) und [Service-Kontrollrichtlinien (SCP) von AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp.html) durch. Mit IAM können Sie den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. Mit AWS können Sie steuern, wer -Ressourcen erstellen und verwalten kann, welche Art von Ressourcen erstellt werden kann und wo sie erstellt werden können. So wird die Möglichkeit eingeschränkt, Ressourcen außerhalb der definierten Richtlinie zu erstellen. Verwenden Sie die zuvor erstellten Rollen und Gruppen und weisen Sie [IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) zu, um die korrekte Nutzung zu erzwingen. SCP bietet eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für alle Konten in Ihrer Organisation, damit Ihre Konten die Vorgaben Ihrer Zugriffskontrollrichtlinien erfüllen. SCPs sind nur in einer Organisation verfügbar, für die alle Features aktiviert sind, und Sie können die SCPs so konfigurieren, dass sie Aktionen für Mitgliedskonten standardmäßig verweigern oder zulassen. Weitere Informationen zur Implementierung des Zugriffsmanagements finden Sie im [Well-Architected-Whitepaper zur Säule „Sicherheit“](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html).
Governance kann auch durch die Verwaltung von [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) implementiert werden. Indem Sie sicherstellen, dass Service Quotas mit minimalem Overhead definiert und ordnungsgemäß verwaltet werden, können Sie die Ressourcenerstellung über die Geschäftsanforderungen hinaus minimieren. Dazu müssen Sie nachvollziehen, wie schnell sich Ihre Anforderungen ändern können, Sie müssen die derzeit ausgeführten Projekte kennen – in Bezug auf die Erstellung und die Deaktivierung von Ressourcen – und berücksichtigen, wie schnell Kontingentänderungen implementiert werden können. [Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html) können bei Bedarf verwendet werden, um Ihre Kontingente zu erhöhen.
**Implementierungsschritte**
+ **Implementieren von Benachrichtigungen zu Ausgaben:** Erstellen Sie mithilfe Ihrer definierten Organisationsrichtlinien [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/), um Benachrichtigungen zu erhalten, wenn Ausgaben außerhalb Ihrer Richtlinien liegen. Konfigurieren Sie mehrere Kostenbudgets, eines für jedes Konto, um über die allgemeinen Kontoausgaben informiert zu werden. Konfigurieren Sie zusätzliche Kostenbudgets innerhalb jedes Kontos für kleinere Einheiten innerhalb des Kontos. Diese Einheiten variieren je nach Kontostruktur. Einige gängige Beispiele sind AWS-Regionen, Workloads (mit Tags) oder AWS-Services. Konfigurieren Sie eine E-Mail-Verteilerliste als Empfänger für Benachrichtigungen, nicht das E-Mail-Konto einer Person. Sie können ein tatsächliches Budget für den Fall konfigurieren, dass ein Betrag überschritten wird, oder ein prognostiziertes Budget zur Benachrichtigung über die prognostizierte Nutzung verwenden. Sie können auch AWS-Budgetaktionen vorkonfigurieren, die bestimmte IAM- oder SCP-Richtlinien erzwingen, oder Amazon-EC2- oder Amazon-RDS-Ziel-Instances beenden. Budgetaktionen werden entweder automatisch gestartet oder erfordern eine Workflow-Genehmigung.
+ **Implementieren von Benachrichtigungen zu ungewöhnlichen Ausgaben:** Mit [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/) können Sie unerwartete Kosten in Ihrer Organisation reduzieren und die Ursachen potenzieller ungewöhnlicher Ausgaben analysieren. Wenn Sie eine Kostenüberwachung zum Identifizieren ungewöhnlicher Ausgaben mit der angegebenen Granularität erstellen und Benachrichtigungen in AWS Cost Anomaly Detection konfigurieren, erhalten Sie eine Warnung, wenn eine ungewöhnliche Ausgabe erkannt wird. So können Sie die Ursache der Unregelmäßigkeit analysieren und erhalten Informationen zu den Auswirkungen auf Ihre Kosten. Verwenden Sie AWS-Kostenkategorien beim Konfigurieren von AWS Cost Anomaly Detection, um zu ermitteln, welches Projekt- oder Geschäftseinheitsteam die Ursache der unerwartete Kosten analysieren und zeitnah die erforderlichen Maßnahmen ergreifen kann.
+ **Implementieren von Nutzungskontrollen:** Implementieren Sie mithilfe Ihrer definierten Organisationsrichtlinien IAM-Richtlinien und -Rollen, um anzugeben, welche Aktionen Benutzer ausführen dürfen und welche nicht. In einer AWS-Richtlinie können mehrere Organisationsrichtlinien enthalten sein. Gehen Sie auf die gleiche Art und Weise vor, wie Sie Richtlinien definiert haben. Beginnen Sie umfassend und wenden dann bei jedem Schritt detailliertere Kontrollen an. Service Limits sind auch eine effektive Kontrolle der Nutzung. Implementieren Sie die richtigen Service Limits für alle Ihre Konten.
## Ressourcen
**Zugehörige Dokumente:**
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [AWS Fakturierungsstrategie mit mehreren Konten](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [Steuern des Zugriffs auf AWS-Regionen mit IAM-Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/)
+ [AWS Cost Anomaly Detection](https://aws.amazon.com/aws-cost-management/aws-cost-anomaly-detection/)
+ [Behalten Sie Ihre AWS-Kosten im Griff](https://aws.amazon.com/getting-started/hands-on/control-your-costs-free-tier-budgets/)
**Zugehörige Videos:**
+ [Wie kann ich AWS Budgets verwenden, um meine Ausgaben und Nutzung zu verfolgen?](https://www.youtube.com/watch?v=Ris23gKc7s0)
**Zugehörige Beispiele:**
+ [Example IAM access management policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html)
+ [Example service control policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html)
+ [AWS Budgetaktionen](https://aws.amazon.com/blogs/aws-cloud-financial-management/get-started-with-aws-budgets-actions/)
+ [Wie erstelle ich eine IAM-Richtlinie, um den Zugriff auf Amazon-EC2-Ressourcen mithilfe von Tags zu steuern?](https://aws.amazon.com/premiumsupport/knowledge-center/iam-ec2-resource-tags/)
+ [Kann ich den Zugriff einer IAM-Identität auf bestimmte Amazon-EC2-Ressourcen beschränken?](https://aws.amazon.com/premiumsupport/knowledge-center/restrict-ec2-iam/)
+ [Slack-Integrationen für die Erkennung von Kostenanomalien mit Amazon Q Developer in Chat-Anwendungen](https://aws.amazon.com/aws-cost-management/resources/slack-integrations-for-aws-cost-anomaly-detection-using-aws-chatbot/)
# COST02-BP06 Projektlebenszyklus verfolgen
Verfolgen, bewerten und überprüfen Sie den Lebenszyklus von Projekten, Teams und Umgebungen, damit Sie keine unnötigen Ressourcen nutzen, für die Sie zahlen müssen.
**Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Niedrig
## Implementierungsleitfaden
Durch eine effektive Nachverfolgung des Projektlebenszyklus können Organisationen durch verbesserte Planung, Verwaltung und Ressourcenoptimierung eine bessere Kostenkontrolle erreichen. Die durch die Nachverfolgung gewonnenen Erkenntnisse sind von unschätzbarem Wert, um fundierte Entscheidungen zu treffen, die zur Kosteneffizienz und zum Gesamterfolg des Projekts beitragen.
Die Verfolgung des gesamten Lebenszyklus der Workload hilft Ihnen zu verstehen, wann Workloads oder Workload-Komponenten nicht mehr benötigt werden. Die vorhandenen Workloads und Komponenten scheinen in Gebrauch zu sein, aber wenn neue Dienste oder Funktionen AWS veröffentlicht werden, können sie außer Betrieb genommen oder übernommen werden. Prüfen Sie die vorherigen Phasen der Workloads. Nachdem eine Workload in Betrieb genommen wurde, können frühere Umgebungen außer Betrieb genommen oder in ihrer Kapazität stark reduziert werden, bis sie wieder erforderlich sind.
Sie können Ressourcen mit einem Zeitrahmen oder einer Erinnerung versehen, um zu markieren, wann die Workload überprüft wurde. Wenn die Entwicklungsumgebung beispielsweise zuletzt vor Monaten überprüft wurde, könnte es ein guter Zeitpunkt sein, sie erneut zu überprüfen, um festzustellen, ob neue Services eingeführt werden können oder ob die Umgebung verwendet wird. Sie können Ihre Anwendungen gruppieren und mit einem [myApplications](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/aws-myApplications.html)Tag versehen AWS , um Metadaten wie Kritikalität, Umgebung, zuletzt überprüft und Kostenstelle zu verwalten und nachzuverfolgen. Sie können sowohl den Lebenszyklus Ihrer Workload verfolgen als auch die Kosten, den Zustand, den Sicherheitsstatus und die Leistung Ihrer Anwendungen überwachen und verwalten.
AWS bietet verschiedene Verwaltungs- und Governance-Dienste, die Sie für die Nachverfolgung des Lebenszyklus von Entitäten verwenden können. Sie können unseren [https://aws.amazon.com/systems-manager/](https://aws.amazon.com/systems-manager/) verwenden [https://aws.amazon.com/config/](https://aws.amazon.com/config/), um eine detaillierte Bestandsaufnahme Ihrer AWS Ressourcen und Konfiguration zu erstellen. Es wird empfohlen, dass Sie diese mit Ihren vorhandenen Projekt- bzw. Komponentenverwaltungssystemen integrieren, um aktive Projekte und Produkte in Ihrer Organisation zu verfolgen. Durch die Kombination Ihres aktuellen Systems mit den zahlreichen Ereignissen und Kennzahlen von AWS können Sie sich einen Überblick über wichtige Ereignisse im Lebenszyklus verschaffen und Ressourcen proaktiv verwalten, um unnötige Kosten zu reduzieren.
Ähnlich wie beim [Application Lifecycle Management (ALM)](https://aws.amazon.com/what-is/application-lifecycle-management/) sollten bei der Nachverfolgung des Projektlebenszyklus mehrere Prozesse, Tools und Teams zusammenarbeiten, z. B. Design und Entwicklung, Tests, Produktion, Support und Workload-Redundanz.
Durch die sorgfältige Überwachung jeder Phase des Lebenszyklus eines Projekts erhalten Organisationen entscheidende Einblicke und eine bessere Kontrolle, was die erfolgreiche Planung, Implementierung und den Abschluss von Projekten erleichtert. Mit dieser sorgfältigen Überwachung wird sichergestellt, dass die Projekte nicht nur den Qualitätsstandards entsprechen, sondern auch pünktlich und innerhalb des Budgets fertiggestellt werden, was die Kosteneffizienz insgesamt fördert.
Weitere Informationen zur Implementierung der Verfolgung des Lebenszyklus von Entitäten finden Sie im [https://aws.amazon.com/architecture/well-architected/](https://aws.amazon.com/architecture/well-architected/).
### Implementierungsschritte
+ **Einrichtung eines Prozesses zur Überwachung des Projektlebenszyklus:** Das [Team des Cloud-Kompetenzzentrums](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/cost_cloud_financial_management_function.html) hat die Aufgabe, einen Prozess für die Überwachung des Projektlebenszyklus einzurichten. Entwickeln Sie einen strukturierten und systematischen Ansatz zur Überwachung der Workloads, um die Kontrolle, die Sichtbarkeit und die Leistung der Projekte zu verbessern. Sorgen Sie dafür, dass der Überwachungsprozess transparent und kooperativ ist und sich auf kontinuierliche Verbesserungen konzentriert, um seine Effektivität und seinen Wert zu maximieren.
+ **Durchführen von Workload-Überprüfungen:** Richten Sie, wie in Ihren Organisationsrichtlinien festgelegt, einen regelmäßigen Rhythmus ein, um Audits Ihrer bestehenden Projekte und Überprüfungen von Workloads durchzuführen. Der Aufwand für die Prüfung sollte proportional zum ungefähren Risiko, dem Wert oder den Kosten für die Organisation sein. Wichtige Bereiche, die in die Prüfung aufgenommen werden sollen, sind das Risiko eines Vorfalls oder eines Ausfalls, der Wert oder Beitrag für die Organisation (gemessen am Umsatz oder Ruf der Marke), die Kosten der Workload (gemessen als Gesamtkosten für Ressourcen und Betriebskosten) und die Nutzung der Workload (gemessen an der Anzahl der Ergebnisse der Organisation pro Zeiteinheit). Wenn sich diese Bereiche im Laufe des Lebenszyklus ändern, sind Anpassungen der Workload erforderlich, z. B. die vollständige oder teilweise Außerbetriebnahme.
## Ressourcen
**Zugehörige Dokumente:**
+ [Leitfaden für das Markieren von AWS](https://aws.amazon.com/solutions/guidance/tagging-on-aws/)
+ [Was ist ALM (Application Lifecycle Management)?](https://aws.amazon.com/what-is/application-lifecycle-management/)
+ [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
**Zugehörige Beispiele:**
+ [Steuern Sie den Zugriff AWS-Regionen mithilfe von IAM Richtlinien](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
**Zugehörige Tools**
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/)
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/?c=mg&sec=srv)