PProfessNet Academy
Amazon AWS — fundamenty/06core11 min

Kontrola kosztów i tagowanie

Koszty w chmurze potrafią wymknąć się spod kontroli. AWS daje narzędzia do ich monitorowania, ale wszystko zaczyna się od tagowania — które jednocześnie jest ważnym sygnałem dla bezpieczeństwa i governance.

Tagowanie — fundament wszystkiego

Tagi to pary klucz-wartość przypisane do zasobów. Spójna strategia tagów pozwala filtrować koszty, automatyzować i egzekwować polityki. Minimalny zestaw:

TagPrzykładPo co
envprod, devrozdział środowisk
ownerteam-zeusodpowiedzialność
cost-centerCC-4471rozliczenia
data-classconfidentialbezpieczeństwo danych
# Otaguj instancję EC2
aws ec2 create-tags --resources i-0abc123 \
  --tags Key=env,Value=prod Key=owner,Value=team-zeus

Wskazówka: wymuszaj tagi przez SCP lub Tag Policies w Organizations. Zasób bez owner to zasób, którego nikt nie posprząta — i którego nikt nie monitoruje pod kątem bezpieczeństwa.

Cost Explorer i budżety

Cost Explorer wizualizuje wydatki w czasie, z podziałem po usłudze, koncie czy tagu. AWS Budgets wysyła alerty, gdy koszt (lub prognoza) przekroczy próg.

# Budżet 1000 USD/miesiąc z alertem
aws budgets create-budget --account-id 111122223333 \
  --budget '{"BudgetName":"zeus-monthly","BudgetLimit":{"Amount":"1000","Unit":"USD"},"TimeUnit":"MONTHLY","BudgetType":"COST"}'

Najczęstsze źródła marnotrawstwa

  • Niezatrzymane instancje EC2 w dev po godzinach pracy,
  • niepodłączone wolumeny EBS i stare snapshoty,
  • niewykorzystane Elastic IP (płatne, gdy nieprzypisane),
  • przewymiarowane instancje (rightsizing przez Compute Optimizer),
  • dane S3 w klasie Standard, które dawno powinny być w Glacier.

Tagowanie a bezpieczeństwo

Tagi to nie tylko koszty. Tag data-class=confidential pozwala automatycznie wymagać szyfrowania i ograniczonego dostępu. Tag owner umożliwia szybkie przypisanie findingu bezpieczeństwa do właściwego zespołu. Brak tagów = brak kontekstu = wolniejsza reakcja na incydent.

Jak to widzi ZEUS

ZEUS odczytuje tagi wszystkich zasobów podczas inwentaryzacji. Wykorzystuje je do przypisywania findings do zespołów (po tagu owner), grupowania ryzyka po środowisku (env) i identyfikacji zasobów z danymi wrażliwymi (data-class). Zasoby bez wymaganych tagów ZEUS sam zgłasza jako finding governance — bo brak właściciela utrudnia remediację i obniża dojrzałość operacyjną środowiska.

W ostatniej lekcji tej ścieżki zobaczymy, jak skonfigurowany jest konektor ZEUS do AWS.