Application Cost Profiler - Guida per l'utente - Amazon.com
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Application Cost Profiler
Guida per l'utenteApplication Cost Profiler Guida per l'utente Application Cost Profiler: Guida per l'utente Copyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved. I marchi e il trade dress di Amazon non possono essere utilizzati in relazione ad alcun prodotto o servizio che non sia di Amazon, in alcun modo che possa causare confusione tra i clienti, né in alcun modo che possa denigrare o screditare Amazon. Tutti gli altri marchi non di proprietà di Amazon sono di proprietà delle rispettive aziende, che possono o meno essere associate, collegate o sponsorizzate da Amazon.
Application Cost Profiler Guida per l'utente
Table of Contents
Che cos'èAWSApplication Cost Profiler? ................................................................................................ 1
Nozioni di base .................................................................................................................................. 2
Ottenimento di un Account AWS e delle credenziali per l'utente root ................................................... 2
Creazione di un utente IAM ......................................................................................................... 2
Accesso come utente IAM ........................................................................................................... 4
Creazione delle chiavi di accesso per un utente IAM ........................................................................ 4
Prerequisiti specifici di Application Cost Profiler ............................................................................... 5
Fasi successive .......................................................................................................................... 5
Configurazione dei bucket Amazon S3 ........................................................................................... 6
Fornire ad Application Cost Profiler l'accesso al bucket S3 di consegna del report ......................... 6
Fornire a Application Cost Profiler l'accesso al bucket S3 dei dati di utilizzo ................................. 7
Fornire l'accesso a Application Cost Profiler ai bucket S3 crittografati SSE-KMS ........................... 9
Creazione del report .......................................................................................................................... 10
Configurazione del report Application Cost Profiler ......................................................................... 10
Segnalazione dei dati di utilizzo del tenant dai tuoi servizi ............................................................... 11
Fase 1: Preparazione dei dati di utilizzo delle risorse .............................................................. 11
Fase 2: Caricamento dell'utilizzo delle risorse ........................................................................ 13
Fase 3: Importazione di dati di utilizzo in Application Cost Profiler ............................................. 14
Utilizzo dei report .............................................................................................................................. 15
Dati disponibili in un rapporto Application Cost Profiler .................................................................... 15
Quote .............................................................................................................................................. 17
Service Quotas ......................................................................................................................... 17
Endpoint del servizio ................................................................................................................. 17
Sicurezza ......................................................................................................................................... 18
Protezione dei dati .................................................................................................................... 18
Crittografia dei dati a riposo ............................................................................................... 19
Crittografia dei dati in transito ............................................................................................. 19
Identity and Access Management ................................................................................................ 19
Destinatari ....................................................................................................................... 20
Autenticazione con identità ................................................................................................. 20
Gestione dell'accesso tramite policy ..................................................................................... 22
ComeAWSApplication Cost Profiler funziona con IAM ............................................................. 24
Esempi di policy basate su identità ...................................................................................... 26
Risoluzione dei problemi .................................................................................................... 29
Convalida della conformità ......................................................................................................... 31
Resilienza ................................................................................................................................ 31
Sicurezza dell'infrastruttura ......................................................................................................... 32
Monitoraggio degli eventi ................................................................................................................... 33
Monitora la generazione di report con EventBridge ........................................................................ 33
Esempio di evento generato da report ......................................................................................... 34
Cronologia dei documenti ................................................................................................................... 35
................................................................................................................................................... xxxvi
iiiApplication Cost Profiler Guida per l'utente
Che cos'èAWSApplication Cost
Profiler?
AWSApplication Cost Profiler è un servizio che ti aiuta a separare il tuoAWSfatturazione e costi da parte
degli inquilini del tuo servizio. UNinquilinopuò essere un utente, un gruppo di utenti o un progetto. Assicurati
di poter identificare l'utilizzo delle risorse in base al tenant scelto. TipicoAWSl'utilizzo delle risorse include
servizi condivisi che supportano più tenant all'interno dell'organizzazione. Per ottenere informazioni sui
costi e sulla fatturazione per tenant anziché per uso orario della risorsa, è possibile integrare le risorse
con Application Cost Profiler. Con questo approccio granulare, puoi capire comeAWSle risorse vengono
utilizzate in una soluzione software condivisa.
Integra i tuoi servizi con Application Cost Profiler in tre passaggi:
1. Attivazione e configurazione di un report— Questo passaggio definisce l'aspetto del tuo output finale.
2. Invia i dati di utilizzo del tenant a Application Cost Profiler— Questo passaggio richiede il codice nel
servizio per creare dati di utilizzo che associa i tenant al tempo in cui utilizzano le risorse e quindi inviare
tali dati di utilizzo a Application Cost Profiler.
3. Recupera report— Application Cost Profiler fornisce report con la cadenza specificata nella
configurazione del report. I report mostrano il costo associato all'utilizzo di ciascun inquilino, offrendoti
una visione granulare della fatturazione.
Per ulteriori informazioni su queste fasi, consultaNozioni di base (p. 2).
1Application Cost Profiler Guida per l'utente
Ottenimento di un Account AWS e
delle credenziali per l'utente root
Introduzione a Application Cost
Profiler
AWSApplication Cost Profiler ti aiuta a ottenere informazioni sui costiAWSrisorse segnalando l'utilizzo delle
risorse per tenant, anziché per la risorsa nel suo complesso. UNinquilinopuò essere un utente, un gruppo
di utenti o un progetto. Assicurati di poter identificare l'utilizzo delle risorse in base al tenant scelto. Per
ottenere report sui costi sull'utilizzo del tenant, è possibile configurare un report e inviare i dati di utilizzo
a Application Cost Profiler. Questa sezione illustra i prerequisiti che è necessario completare prima di
utilizzare Application Cost Profiler.
Argomenti
• Ottenimento di un Account AWS e delle credenziali per l'utente root (p. 2)
• Creazione di un utente IAM (p. 2)
• Accesso come utente IAM (p. 4)
• Creazione delle chiavi di accesso per un utente IAM (p. 4)
• Prerequisiti specifici di Application Cost Profiler (p. 5)
• Fasi successive (p. 5)
• Configurazione dei bucket Amazon S3 per Application Cost Profiler (p. 6)
Ottenimento di un Account AWS e delle credenziali
per l'utente root
Per accedere a AWS, devi effettuare la registrazione per un Account AWS.
Per registrarsi a un Account AWS
1. Apri la pagina all'indirizzo https://portal.aws.amazon.com/billing/signup.
2. Segui le istruzioni online.
Come parte della procedura di registrazione riceverai una telefonata, durante la quale dovrai inserire
un codice di verifica sulla tastiera del telefono.
Al termine del processo di registrazione, riceverai un'e-mail di conferma da AWS. È possibile visualizzare
l'attività corrente dell'account e gestire l'account in qualsiasi momento accedendo all'indirizzo https://
aws.amazon.com/ e scegliendo Il mio account.
Creazione di un utente IAM
Se il tuo account include già unAWS Identity and Access Managementutente (IAM) completoAWSLe
autorizzazioni amministrative, puoi ignorare questa sezione.
2Application Cost Profiler Guida per l'utente
Creazione di un utente IAM
Note
Per ulteriori informazioni sull'utilizzo di IAM con Application Cost Profiler, consultaIdentity and
Access Management perAWSApplication Cost Profiler (p. 19).
Quando crei per la prima volta un account Amazon Web Services (AWS), inizi con una singola identità di
accesso. Tale identità ha accesso completo a tutti i Servizi AWS e le risorse presenti nell'account. Questa
identità è chiamata utente root di un Account AWS. Quando accedi, inserisci l'indirizzo e-mail e la password
utilizzati per creare l'account.
Important
È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane, anche quelle
amministrative. Rispettare piuttosto la best practice di utilizzare l'utente root soltanto per creare
il tuo primo utente IAM. Quindi conserva al sicuro le credenziali dell'utente root e utilizzale per
eseguire solo alcune attività di gestione dell'account e del servizio. Per visualizzare le attività che
richiedono l'accesso come utente root, consulta Attività che richiedono le credenziali utente root.
Per creare un utente amministratore per se stessi e aggiungere l'utente a un gruppo di
amministratori (console)
1. Accedi alla console IAM come proprietario dell'account scegliendo Utente root e inserendo l'indirizzo e-
mail di Account AWS. Nella pagina successiva, inserisci la password.
Note
È vivamente consigliato di rispettare la best practice sull'utilizzo dell'utente IAM
Administrator e conservare le credenziali dell'utente root in un luogo sicuro. Accedi come
utente root solo per eseguire alcune attività di gestione dell'account e del servizio.
2. Nel pannello di navigazione seleziona Utenti, quindi seleziona Aggiungi utenti.
3. In Nome utente, inserisci Administrator.
4. Seleziona la casella di controllo accanto ad Accesso alla AWS Management Console. Quindi scegli
Password personalizzata e inserisci la nuova password nella casella di testo.
5. (Facoltativo) Di default, AWS richiede al nuovo utente di creare una nuova password al primo accesso.
Puoi deselezionare la casella di controllo accanto a User must create a new password at next sign-
in (L'utente deve creare una nuova password al prossimo accesso) per consentire al nuovo utente di
reimpostare la propria password dopo aver effettuato l'accesso.
6. Seleziona Successivo: Autorizzazioni.
7. In Imposta autorizzazioni, seleziona Aggiungi l'utente al gruppo.
8. Seleziona Crea gruppo.
9. Nella finestra di dialogo Crea gruppo, per Nome gruppo inserisci Administrators.
10. Scegli Filtra policy, quindi seleziona Funzione lavorativa gestita da AWS per filtrare i contenuti della
tabella.
11. Nell'elenco delle policy, seleziona la casella di controllo accanto ad AdministratorAccess. Seleziona
quindi Crea gruppo.
Note
È necessario attivare l'accesso dell'utente o del ruolo IAM alla fatturazione prima di poter
utilizzare le autorizzazioni AdministratorAccess per accedere alla console AWS Billing
and Cost Management. A questo scopo, segui le istruzioni nella fase 1 del tutorial sulla delega
dell'accesso alla console di fatturazione.
12. Nell'elenco dei gruppi seleziona la casella di controllo per il tuo nuovo gruppo. Se necessario,
seleziona Aggiorna per visualizzare il gruppo nell'elenco.
13. Seleziona Successivo: Tag.
3Application Cost Profiler Guida per l'utente
Accesso come utente IAM
14. (Facoltativo) Aggiungi metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori
informazioni sull'utilizzo di tag in IAM, consulta Tagging di utenti e ruoli IAM nella Guida per l'utente di
IAM.
15. Seleziona Successivo: Review (Revisione)per visualizzare l'elenco dei membri del gruppo da
aggiungere al nuovo utente. Quando sei pronto per continuare, seleziona Crea utente.
È possibile utilizzare questa stessa procedura per creare altri gruppi e utenti e per concedere agli utenti
l'accesso alle risorse del proprio Account AWS. Per ulteriori informazioni sull'utilizzo delle policy per limitare
le autorizzazioni degli utenti a risorse AWS specifiche, consulta Gestione degli accessi ed Esempi di policy.
Accesso come utente IAM
Accedi alla console IAM scegliendo Utente IAM e inserendo l'ID Account AWS o l'alias dell'account. Nella
pagina successiva, inserisci il nome utente IAM e la password.
Note
Per praticità, la pagina di accesso AWS utilizza un cookie del browser per ricordare il nome utente
IAM e le informazioni sull'account. Se in precedenza è stato eseguito l'accesso con un utente
diverso, scegli il link di accesso sotto al pulsante per ritornare alla pagina principale di accesso. Da
lì, puoi inserire l'ID Account AWS o l'alias account in modo da essere reindirizzato alla pagina di
accesso utente IAM per l'account.
Creazione delle chiavi di accesso per un utente IAM
Le chiavi di accesso sono composte da un ID chiave di accesso e una chiave di accesso segreta che
sono utilizzati per firmare le richieste programmatiche eseguite verso AWS. Se non si dispone di chiavi
di accesso, sarà possibile crearle dalla AWS Management Console. Come best practice, non utilizzare le
chiavi di accesso dell'utente root Account AWS per nessuna attività in cui non sia necessario. Invece ,crea
un nuovo utente IAM amministratore con le chiavi di accesso riservate a te.
L'unica volta che è possibile visualizzare o scaricare la chiave di accesso segreta è durante la creazione
delle chiavi. Non è possibile recuperarle successivamente. Tuttavia, è possibile creare nuove chiavi di
accesso in qualsiasi momento. Occorre avere le autorizzazioni anche per effettuare le operazioni IAM
richieste. Per ulteriori informazioni, consulta Autorizzazioni necessarie accedere alle risorse IAM nella
Guida per l'utente di IAM.
Come generare le chiavi di accesso per un utente IAM
1. Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://
console.aws.amazon.com/iam/.
2. Nel pannello di navigazione, seleziona Utenti.
3. Scegliere il nome dell'utente di cui si vogliono creare le chiavi di accesso e poi scegliere la scheda
Credenziali di sicurezza.
4. Nella sezione Chiavi di accesso, scegliere Crea chiave di accesso.
5. Per visualizzare la nuova chiave di accesso, seleziona Mostra. Non sarà possibile accedere
nuovamente alla chiave di accesso segreta dopo la chiusura di questa finestra di dialogo. Le
credenziali saranno simili a quanto segue:
• ID chiave di accesso: AKIAIOSFODNN7EXAMPLE
• Chiave di accesso segreta: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
4Application Cost Profiler Guida per l'utente
Prerequisiti specifici di Application Cost Profiler
6. Per fare il download della coppia di chiavi, scegliere Download .csv file. Conserva le chiavi in un posto
sicuro. Non sarà possibile accedere nuovamente alla chiave di accesso segreta dopo la chiusura di
questa finestra di dialogo.
Mantieni la riservatezza delle chiavi in modo da proteggere l'account Account AWS e non inviarle
mai via e-mail. Non condividerle all'esterno della tua organizzazione, anche se ricevi una richiesta
che sembra provenire da AWS o Amazon.com. Nessuno che rappresenta legittimamente Amazon
richiederà mai la tua chiave segreta.
7. Dopo aver scaricato il file .csv, seleziona Chiudi. Quando si crea una chiave di accesso, la coppia di
chiavi è attiva di default e può essere utilizzata immediatamente.
Argomenti correlati
• Che cos'è IAM nella Guida per l'utente di IAM
• Credenziali di sicurezza AWS in Riferimenti generali AWS
Prerequisiti specifici di Application Cost Profiler
Prima di iniziare a utilizzare Application Cost Profiler, è necessario completare i prerequisiti seguenti:
• Abilitazione di Cost Explorer
Abilitazione diAWS Cost Explorerper il tuoAWSconto. La configurazione di un account con Cost Explorer
può richiedere fino a 24 ore. È necessario completare l'impostazione di Cost Explorer prima che
Application Cost Profiler possa generare report giornalieri e mensili.
Per ulteriori informazioni, consultaAbilitazione di Cost ExplorernellaAWS Billing and Cost
ManagementGuida per l’utente di.
• Creazione di bucket S3
Creazione di almeno due bucket Amazon Simple Storage Service (Amazon S3). Application Cost
Profiler utilizza un bucket S3 per fornire report. Utilizzare l'altro bucket S3 per caricare i dati di utilizzo
in Application Cost Profiler. In genere, è necessario un solo bucket S3 per caricare i dati di utilizzo.
Tuttavia, potresti voler disporre di più di un bucket S3 in modo da poter mantenere l'utilizzo per diversi
servizi in bucket S3 separati con autorizzazioni diverse, se necessario per la tua sicurezza. È necessario
concedere le autorizzazioni Application Cost Profiler a questi bucket S3.
Per ulteriori informazioni sulla configurazione dei bucket Amazon S3 per Application Cost Profiler,
consultaConfigurazione dei bucket Amazon S3 per Application Cost Profiler (p. 6).
• Abilita i tag
Per segnalare l'utilizzo per tag, anziché per risorsa, è necessario abilitare tali tag nellaAWS Billing and
Cost Managementconsole.
Per ulteriori informazioni sull'attivazioneAWStag generati, consultaAttivazione delAWSTag di l'allocazione
dei costi generati danellaAWS Billing and Cost ManagementGuida per l’utente di. Per ulteriori
informazioni sull'attivazione dei tag definiti dall'utente, consultaAttivazione dei tag per l'allocazione dei
costi definiti dall'utentenellaAWS Billing and Cost ManagementGuida per l’utente di.
Fasi successive
Dopo aver completato questi prerequisiti, è possibile:
5Application Cost Profiler Guida per l'utente
Configurazione dei bucket Amazon S3
• Configurare il report e inviare i dati di utilizzo a Application Cost Profiler. Per ulteriori informazioni,
consulta la pagina Creazione del report (p. 10) .
• Ottieni e analizza i report generati. Per ulteriori informazioni, consultare Utilizzo dei report di profiler costo
applicazione (p. 15).
Configurazione dei bucket Amazon S3 per
Application Cost Profiler
Per inviare dati di utilizzo e ricevere report daAWSApplication Cost Profiler, devi avere almeno un bucket
Amazon Simple Storage Service (Amazon S3) nel tuoAccount AWSper archiviare i dati e un bucket S3 per
ricevere i tuoi report.
Note
Per utenti diAWS Organizations, i bucket Amazon S3 possono trovarsi nell'account di gestione o
in singoli account membri. I dati nei bucket S3 di proprietà dell'account di gestione possono essere
utilizzati per generare report per l'intera organizzazione. Nei singoli account membri, i dati nei
bucket S3 possono essere utilizzati solo per generare report per quell'account membro.
I bucket S3 creati sono di proprietà delAccount AWSin cui li crei. I bucket S3 vengono fatturati alle tariffe
standard Amazon S3. Per ulteriori informazioni su come creare un bucket Amazon S3, consultaCreazione
di un bucketnellaGuida dell'utente Amazon Simple Storage Service.
Affinché Application Cost Profiler utilizzi i bucket S3, ai bucket devi collegare una policy che consenta
a Profiler dei costi dell'applicazione di leggere e/o scrivere nel bucket. Se si modifica il criterio dopo la
configurazione dei report, è possibile impedire a Application Cost Profiler di leggere i dati di utilizzo o di
consegnare i report.
Negli argomenti seguenti viene illustrato come configurare le autorizzazioni per i bucket Amazon S3 dopo
averli creati. Oltre alla possibilità di leggere e scrivere oggetti, se sono stati crittografati i bucket, Application
Cost Profiler deve avere accesso alAWS Key Management Service(AWS KMS) chiave per ogni secchio.
Argomenti
• Fornire ad Application Cost Profiler l'accesso al bucket S3 di consegna del report (p. 6)
• Fornire a Application Cost Profiler l'accesso al bucket S3 dei dati di utilizzo (p. 7)
• Fornire l'accesso a Application Cost Profiler ai bucket S3 crittografati SSE-KMS (p. 9)
Fornire ad Application Cost Profiler l'accesso al bucket
S3 di consegna del report
Il bucket S3 configurato per Application Cost Profiler per la consegna dei report deve avere un criterio
che consenta a Application Cost Profiler di creare gli oggetti del report. Inoltre, il bucket S3 deve essere
configurato per abilitare la crittografia.
Note
Quando crei il bucket, devi scegliere di crittografarlo. Puoi scegliere di crittografare il bucket con le
chiavi gestite da Amazon S3 (SSE-S3) o con la tua chiave gestita daAWS KMS(SSE-KMS). Se hai
già creato il bucket senza crittografia, devi modificare il bucket per aggiungere la crittografia.
Per dare all'Application Cost Profiler l'accesso al bucket S3 di consegna del report
1. Accedi aConsole Amazon S3e effettua l'accesso.
6Application Cost Profiler Guida per l'utente
Fornire a Application Cost Profiler
l'accesso al bucket S3 dei dati di utilizzo
2. SelezionaBucketdalla navigazione a sinistra, quindi scegli il bucket dall'elenco.
3. SelezionaAutorizzazionitab, quindi, accanto aPolicy del bucket, scegliModificare.
4. NellaPolicynella sezione, inserire la policy seguente. Replace (Sostituisci)con il nome
del tuo bucketcon l'ID del tuoAccount AWS.
{
"Version":"2008-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"application-cost-profiler.amazonaws.com"
},
"Action":[
"s3:PutObject*",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1::*"
}
}
}
]
}
In questa politica si sta fornendo l'entità del servizio Application Cost Profiler (application-cost-
profiler.amazonaws.com) l'accesso a report nel bucket specificato. Lo fa a tuo nome, e include
un'intestazione con il tuoAccount AWSe un ARN specifico per il periodo fisso di consegna del report.
Per garantire che Application Cost Profiler acceda al tuo bucket solo quando agisce per tuo conto,
ilConditioncontrolla le intestazioni.
5. ScegliereSalva le modificheper salvare la tua polizza, allegata al tuo bucket.
Se hai creato il tuo bucket utilizzando la crittografia SSE-S3, hai finito. Se hai utilizzato la crittografia
SSE-KMS, sono necessari i seguenti passaggi per consentire all'Application Cost Profiler l'accesso al
tuo bucket.
6. (Facoltativo) SelezionareProprietàper il bucket, e sottocrittografia di default, seleziona l'Amazon
Resource Name (ARN) perAWS KMSchiave. Questa azione visualizza ilAWS Key Management
Serviceconsole e mostra la tua chiave.
7. (Facoltativo) Aggiungere il criterio per consentire a Application Cost Profiler l'accesso alAWS
KMSchiave. Per istruzioni sull'aggiunta di questa policy, consultaFornire l'accesso a Application Cost
Profiler ai bucket S3 crittografati SSE-KMS (p. 9).
Fornire a Application Cost Profiler l'accesso al bucket
S3 dei dati di utilizzo
Il bucket S3 configurato per la lettura dei dati di utilizzo di Application Cost Profiler deve avere un criterio
per consentire a Application Cost Profiler di leggere gli oggetti dati di utilizzo.
7Application Cost Profiler Guida per l'utente
Fornire a Application Cost Profiler
l'accesso al bucket S3 dei dati di utilizzo
Note
Concedendo a Application Cost Profiler l'accesso ai dati di utilizzo dell'utente, accetti che
possiamo copiare temporaneamente tali oggetti dati di utilizzo negli Stati Uniti orientali (Virginia
settentrionale)Regione AWSdurante l'elaborazione dei report. Questi oggetti di dati saranno
conservati nella regione Stati Uniti orientali (Virginia settentrionale) fino al completamento della
generazione dei report mensili.
Per dare ad Application Cost Profiler l'accesso al bucket S3 dei dati di utilizzo
1. Accedi aConsole Amazon S3e effettua l'accesso.
2. SelezionaBucketdalla navigazione a sinistra, quindi scegli il bucket dall'elenco.
3. SelezionaAutorizzazionitab, quindi, accanto aPolicy del bucket, scegliModificare.
4. NellaPolicynella sezione, inserire la policy seguente. Replace (Sostituisci)con il nome
del tuo bucketcon l'ID del tuoAccount AWS.
{
"Version":"2008-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"application-cost-profiler.amazonaws.com"
},
"Action":[
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1::*"
}
}
}
]
}
In questa politica si sta fornendo l'entità del servizio Application Cost Profiler (application-cost-
profiler.amazonaws.com) per estrarre i dati dal bucket specificato. Lo fa a tuo nome, e include
un'intestazione con il tuoAccount AWSe un ARN specifico per il tuo secchio d'uso. Per garantire che
Application Cost Profiler acceda al tuo bucket solo quando agisce per tuo conto, ilConditioncontrolla
le intestazioni.
5. ScegliereSalva le modificheper salvare la tua polizza, allegata al tuo bucket.
Se il bucket è crittografato conAWS KMSchiavi gestite, quindi è necessario concedere ad Application Cost
Profiler l'accesso al bucket seguendo la procedura nella sezione successiva.
8Application Cost Profiler Guida per l'utente
Fornire l'accesso a Application Cost
Profiler ai bucket S3 crittografati SSE-KMS
Fornire l'accesso a Application Cost Profiler ai bucket
S3 crittografati SSE-KMS
Se si crittografano i bucket S3 configurati per Application Cost Profiler (necessari per i bucket di report)
con le chiavi memorizzate inAWS KMS(SSE-KMS), è inoltre necessario concedere le autorizzazioni
a Application Cost Profiler per decrittografarli. Lo fai dando accesso alAWS KMSchiavi utilizzate per
crittografare i dati.
Note
Se il bucket è crittografato con le chiavi gestite di Amazon S3, non è necessario completare
questa procedura.
Per dare accesso a Application Cost ProfilerAWS KMSper bucket S3 crittografati SSE-KMS
1. Accedi aAWS KMSplanciae effettua l'accesso.
2. SelezionaChiavi gestite dal clientedalla navigazione a sinistra, quindi scegliere la chiave utilizzata per
crittografare il bucket dall'elenco.
3. SelezionaPassa alla visualizzazione policy, quindi scegliModificare.
4. NellaPolicy, inserire la seguente dichiarazione policy.
{
"Effect": "Allow",
"Principal": {
"Service": "application-cost-profiler.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1::*"
}
}
5. ScegliereSalva le modificheper salvare la tua politica, allegata alla tua chiave.
6. Ripetere per ogni chiave che crittografa un bucket S3 a cui Application Cost Profiler deve accedere.
Note
I dati vengono copiati dal bucket S3 durante l'importazione nei bucket gestiti di Application Cost
Profiler (crittografati). Se si revoca l'accesso alle chiavi, Application Cost Profiler non è in grado
di recuperare nuovi oggetti dal bucket. Tuttavia, tutti i dati già importati possono ancora essere
utilizzati per generare report.
9Application Cost Profiler Guida per l'utente
Configurazione del report Application Cost Profiler
Creazione del report
Dopo aver soddisfatto ilprerequisiti, sei pronto a configurare il report per il tuoAccount AWSe invia i tuoi
dati di utilizzo aAWSApplication Cost Profiler. Questa sezione descrive come configurare il report e come
inviare i dati di utilizzo a Application Cost Profiler.
Configurazione del report Application Cost Profiler
Nella procedura seguente viene illustrato come configurare il report che si desidera generare in base alla
data di utilizzo. È possibile configurare dettagli come la frequenza generata dal report.
Note
Se le ricette diAccount AWSfa parte di unAWSorganizzazione, è possibile configurare il report
utilizzando l'account di gestione o un account membro individuale. I report configurati per i singoli
account contengono solo dati per tale account. I report configurati utilizzando l'account di gestione
possono includere dati per l'intera organizzazione.
Il bucket Amazon S3 utilizzato per l'output del report deve appartenere all'account che crea la
configurazione del report.
Per configurare il report Application Cost Profiler
1. Aprire un browser Web e accedere alConsole di profiler costo applicazione.
2. ScegliereInizia oraper configurare o modificare un report.
3. Immettere unNome del reporteDescrizione del rapportoper il tuo report
4. Specificare il nome del bucket S3 nellaImmettere il nome del bucket S3campo e inserisci il prefisso S3
nelImmettere il prefisso S3. Per ulteriori informazioni sulla creazione di bucket S3 e sulla concessione
delle autorizzazioni di profiler costo applicazione, consulta.Configurazione dei bucket Amazon S3 per
Application Cost Profiler (p. 6).
5. Seleziona le opzioni che vuoi che il tuo report abbia:
• Time frequency— Scegli se il report è generato su unGiornalierooMensilecadenza, oEntrambi.
• Formato di output— Scegli il tipo di file da creare all'interno del bucket Amazon S3. Se scegliCSV,
Application Cost Profiler crea un file di testo con valori separati da virgole con compressione gzip per
i report. Se scegliParquet, viene generato un file Parquet per i report.
6. ScegliereConfiguraper salvare la configurazione del report.
Note
È possibile utilizzare anche l'AWSAPI di profiler costo applicazioneper configurare i report.
Verifica le impostazioni del report scegliendoInizia oraper visualizzare la configurazione corrente del report.
Note
È possibile configurare un solo report. Tornando alla pagina di configurazione modificherà il report
esistente.
10Application Cost Profiler Guida per l'utente
Segnalazione dei dati di utilizzo del tenant dai tuoi servizi
Dopo aver configurato il report, l'inserimento dei dati è abilitato. È possibile integrare i servizi con
Application Cost Profiler per fornire dati di utilizzo per le risorse.
Segnalazione dei dati di utilizzo del tenant dai tuoi
servizi
Dopo aver configurato il report, sei pronto a inviare i dati di utilizzo del tenant dalle risorse o dai servizi
nel tuo account. È necessario informare Application Cost Profiler quando la risorsa viene utilizzata per un
tenant specifico. Ad esempio, se il servizio accetta chiamate API da tenant diversi, si registra un'ora di
inizio e di fine per ciascun tenant quando si avvia e termina una chiamata API da quel tenant. Application
Cost Profiler utilizza tali dati per generare report sul costo del servizio, in base al tempo impiegato per il
lavoro per ciascun inquilino.
Per fornire ai dati di utilizzo di Application Cost Profiler, procedere nel seguente modo:
• Preparare dati di utilizzo delle risorse— Creare tabelle che descrivono quando viene utilizzata una risorsa
per un tenant specifico.
• Caricare dati di utilizzo— Carica le tabelle su un bucket Amazon S3 a cui hai concesso l'autorizzazione
per l'accesso a Application Cost Profiler.
• Importare dati di utilizzo— ChiamaImportApplicationUsageOperazione API per far sapere a
Application Cost Profiler che i dati sono pronti per essere elaborati.
Le seguenti sezioni descrivono ognuna di queste fasi in modo più dettagliato.
Argomenti
• Fase 1: Preparazione dei dati di utilizzo delle risorse (p. 11)
• Fase 2: Caricamento dell'utilizzo delle risorse (p. 13)
• Fase 3: Importazione di dati di utilizzo in Application Cost Profiler (p. 14)
Fase 1: Preparazione dei dati di utilizzo delle risorse
Poiché una risorsa viene utilizzata nel tuo servizio, tieni traccia del tenant che la sta utilizzando. Registra
questi dati in una tabella che è possibile caricare in seguito per l'importazione di Application Cost Profiler.
Ogni riga della tabella descrive una risorsa, il tenant che utilizza la risorsa e gli orari di inizio e fine di tale
utilizzo. Un esempio di risorsa è un'istanza Amazon Elastic Compute Cloud (Amazon EC2) utilizzata.
Questo passaggio richiede l'integrazione del codice nel servizio per produrre le informazioni corrette
sull'utilizzo.
I campi presenti in una tabella di utilizzo delle risorse sono elencati nella tabella seguente.
Campo Descrizione
ApplicationId Identifica l'applicazione o il prodotto nel sistema in
uso. Definisce l'ambito dei metadati tenant.
TenantiD Un identificatore nel sistema per il tenant che sta
consumando la risorsa specificata. Application
Cost Profiler si aggrega a questo livello all'interno
dellaApplicationId.
11Application Cost Profiler Guida per l'utente
Fase 1: Preparazione dei dati di utilizzo delle risorse
Campo Descrizione
Desc inquilino (Facoltativo) Dati aggiuntivi sul tenant per la tua
segnalazione aggiuntiva.
UsageAccountId L'account in cui viene eseguita la risorsa
(importante per gli account che fanno parte di
un'organizzazione).
StartTime Timestamp (in millisecondi e microsecondi) da
Epoch, in UTC. Indica l'ora di inizio del periodo per
l'utilizzo da parte del tenant specificato.
EndTime Timestamp (in millisecondi e microsecondi) da
Epoch, in UTC. Indica l'ora di fine del periodo per
l'utilizzo da parte del tenant specificato.
ResourceId Amazon Resource Name (ARN) per la risorsa
utilizzata.
Nome (Facoltativo) In alternativa alla specifica di
unResourceId, puoi specificare unNometag di
risorsa per attribuire i costi a un insieme di risorse
(il campo deve includere il valore che si desidera
utilizzare per ilNometag). I tag delle risorse sono
abilitati come parte del rapporto costi e utilizzo.
Per ulteriori informazioni sui tag delle risorse,
consulta.Dettagli dei tag delle risorsenellaGuida per
l'utente del report di costi e utilizzo.
L'output deve trovarsi in un file con valori separati da virgole (.csv) che include una riga di intestazione,
come illustrato nell'esempio seguente.
ApplicationId,TenantId,TenantDesc,UsageAccountId,StartTime,EndTime,ResourceId
MyApp,Tenant1,,123456789012,1613681437032.9001,1613681437041.5312,arn:aws:ec2:us-
east-1:123456789012:instance/1234-abcd-example-1234
MyApp,Tenant2,,123456789012,1613681245531.4426,1613681245551.1323,arn:aws:ec2:us-
east-1:123456789012:instance/1234-abcd-example-1234
MyApp,Tenant1,,123456789012,1613681904815.3381,1613681904930.0972,arn:aws:ec2:us-
east-1:123456789012:instance/1234-abcd-example-1234
MyApp,Tenant2,,123456789012,1613681904765.1956,1613681904946.574,arn:aws:ec2:us-
east-1:123456789012:instance/1234-abcd-example-1234
Salvare i dati come file, con estensione.csv (o .csv.gzip se compresso con gzip). Quando si caricano
questi dati su Application Cost Profiler, ogni volta che viene assegnata una sezione al tenant associato. In
questo esempio, il report include la fascia temporale del costo dell'istanza Amazon EC2 per quel tenant.
Solo per le istanze EC2, le sezioni non associate a un tenant specifico vengono aggiunte a un tenantnon
attribuitoinquilino. Le fasce temporali sovrapposte vengono conteggiate più volte. È tua responsabilità
assicurarti che i dati nella tabella di utilizzo siano accurati.
Note
Il file deve rappresentare un'ora di tempo. Se una risorsa viene utilizzata per più ore, terminare
l'utilizzo nell'ora e avere un nuovo record nel file successivo che inizia contemporaneamente.
È necessario inviare un singolo file contenente i dati di un'ora intera. Se vengono inviati più file per
i dati della stessa ora, Application Cost Profiler considera solo i dati nell'ultimo file.
Ad esempio, nella tabella seguente viene illustrato come Application Cost Profiler calcola l'utilizzo di tre
tenant, oltre un'ora (3.600.000 millisecondi), in base alle fasce temporali fornite.
12Application Cost Profiler Guida per l'utente
Fase 2: Caricamento dell'utilizzo delle risorse
Tenant Fette temporali fornite Percentuale calcolata del costo
orario
Inquilino 1 1.200.000 ms 33.34%
Inquilino 2 600.000 ms 16,66%
50,00%
In questo esempio, Tenant1 viene assegnato un terzo dell'ora e a Tenant2 viene assegnato un sesto
dell'ora. La restante mezz'ora (1.800.000 ms) non è attribuita a nessuno dei clienti, ovvero il 50% dell'ora.
Note
Attualmente, le seguenti risorse sono abilitate per Application Cost Profiler: Le istanze Amazon
EC2, funzioni Lambda, istanze Amazon Elastic Container Service (Amazon ECS), code Amazon
Simple Queue Service (Amazon SQS), argomenti Amazon Simple Notification Service (Amazon
SNS) e letture e scritture Amazon DynamoDB.
L'utilizzo di Amazon SQS, Amazon SNS e DynamoDB non viene addebitato in base al tempo, a
differenza della maggior parte delle risorse. Nel loro caso, l'utilizzo durante un'ora (ad esempio,
un certo numero di letture e scritture in DynamoDB), è classificato in base alla percentuale dell'ora
che si allocano a tenant diversi, indipendentemente dal momento in cui le letture o le scritture sono
avvenute durante l'ora.
Fase 2: Caricamento dell'utilizzo delle risorse
Dopo aver ottenuto un file di utilizzo da parte del tenant, carica il file di dati su Amazon S3 e assicurati che
Application Cost Profiler abbia il permesso di accedervi.
Per ulteriori informazioni sulla creazione di un bucket S3, consulta.Prerequisiti specifici di Application Cost
Profiler (p. 5).
È necessario assicurarsi che Application Cost Profiler abbia accesso al bucket S3. Questa operazione
deve essere eseguita una sola volta per bucket S3 (è possibile riutilizzare lo stesso bucket per caricare
più file di utilizzo). Per informazioni su come dare accesso al secchio, vedereFornire a Application Cost
Profiler l'accesso al bucket S3 dei dati di utilizzo (p. 7). Se il bucket è crittografato, vedereFornire l'accesso
a Application Cost Profiler ai bucket S3 crittografati SSE-KMS (p. 9).
Note
Non è necessario crittografare i bucket S3 utilizzati per i dati di utilizzo.
Carica i tuoi dati nel bucket S3 come file, con un'estensione.csv (o .csv.gzip se compresso con gzip), a
intervalli orari. Dopo aver caricato un nuovo file, è necessario informare Application Cost Profiler di averlo
caricato in modo che il file possa essere importato nel report.
Note
Concedendo a Application Cost Profiler l'accesso ai dati di utilizzo dell'utente, accetti che
possiamo copiare temporaneamente tali oggetti dati di utilizzo negli Stati Uniti orientali (Virginia
settentrionale)Regione AWSdurante l'elaborazione dei report. Questi oggetti dati saranno
conservati nella regione Stati Uniti orientali (Virginia settentrionale) fino al completamento della
generazione mensile dei report.
13Application Cost Profiler Guida per l'utente
Fase 3: Importazione di dati di
utilizzo in Application Cost Profiler
Fase 3: Importazione di dati di utilizzo in Application
Cost Profiler
Dopo aver caricato i dati di utilizzo in un bucket Amazon S3 a cui ha accesso Application Cost Profiler,
informare Application Cost Profiler che i dati esistono e importarli nel report finale. Per farlo, devi utilizzare
l'ImportApplicationUsageoperazione nell'API Application Cost Profiler.
Per informazioni suAWSAPI Application Cost Profiler, inclusoImportApplicationUsageoperazione,
vedere ilAWSInformazioni di riferimento sull'applicazione
L'esempio seguente mostra come chiamareImportApplicationUsage. Sostituisci iltesto di input
tra parentesicon i valori per il bucket S3 e l'oggetto caricato.
POST /ImportApplicationUsage HTTP/1.1
Content-type: application/json
{
"sourceS3Location" : {
"bucket": "",
"key": "",
"region": ""
}
}
Note
Laregionil parametro è richiesto solo se il secchio è in unRegione AWSdisabilitato
per impostazione predefinita. Per ulteriori informazioni, consultaGestioneRegioni
AWSnellaAWSRiferimenti generali.
Application Cost Profiler genera un nuovo report alla frequenza richiesta quandoconfigurazione del
report (p. 10), utilizzando i dati con cui hai importatoImportApplicationUsage.
Dopo aver configurato il report e aver automatizzato l'importazione dei dati di utilizzo in Application Cost
Profiler, sei pronto a visualizzare i report generati. Per ulteriori informazioni sui report, consulta.Utilizzo dei
report di profiler costo applicazione (p. 15).
14Application Cost Profiler Guida per l'utente
Dati disponibili in un rapporto Application Cost Profiler
Utilizzo dei report di profiler costo
applicazione
Dopo aver integrato i dati di utilizzo conAWSApplication Cost Profiler e inviano i dati su base oraria,
Application Cost Profiler genera automaticamente il report.
I report vengono generati quotidianamente o mensilmente, in base all'opzione selezionata
quandoconfigurazione del report (p. 10). I report vengono inviati al bucket Amazon Simple Storage Service
(Amazon S3) selezionato al momento della configurazione del report.
I report giornalieri generati il primo giorno del mese hanno i dati del mese precedente.
Dati disponibili in un rapporto Application Cost
Profiler
Le colonne create in un report di utilizzo sono mostrate nella tabella seguente.
Nome colonna Descrizione
PayerAccountId L'ID dell'account di gestione in un'organizzazione
o l'ID account se l'account non fa parte diAWS
Organizations.
UsageAccountId L'ID account per l'account con utilizzo.
LineItemType Il tipo di record. Sempre Usage.
Ora di inizio utilizzo Timestamp (in millisecondi) da Epoch, in UTC.
Indica l'ora di inizio del periodo per l'utilizzo da
parte del tenant specificato.
Ora di fine utilizzo Timestamp (in millisecondi) da Epoch, in UTC.
Indica l'ora di fine del periodo per l'utilizzo da parte
del tenant specificato.
Identificativo dell'applicazione LaApplicationIdspecificato nei dati di utilizzo inviati
a Application Cost Profiler.
Antiidentificatore TENN LaTenantiDspecificato nei dati di utilizzo inviati a
Application Cost Profiler. I dati senza record nei
dati di utilizzo vengono raccolti inunattributed.
Descrizione dell'inquilino LaTenantDescspecificato nei dati di utilizzo inviati
a Application Cost Profiler.
ProductCode LaAWSprodotto fatturato (ad esempioAmazonEC2).
UsageType Il tipo di utilizzo da fatturare (ad
esempioBoxUsage:c5.large).
Operazioni L'operazione che viene fatturata (ad
esempio,RunInstances).
15Application Cost Profiler Guida per l'utente
Dati disponibili in un rapporto Application Cost Profiler
Nome colonna Descrizione
ResourceId L'ID della risorsa o Amazon Resource Name (ARN)
per la risorsa da fatturare.
fattore di scala Se una risorsa viene sovraallocata per un'ora,
ad esempio, i dati di utilizzo segnalati sono pari
a 2 ore anziché 1 ora, viene applicato un fattore
di scala per rendere il totale uguale all'importo
fatturato effettivo (in questo caso, 0,5). Questa
colonna riporta il fattore di scala utilizzato per la
risorsa specifica per quell'ora. Il fattore di scala è
sempre maggiore di zero (0) e inferiore o uguale a
1.
Percentuale di attribuzione tenant La percentuale di utilizzo attribuita al tenant
specificato (tra zero (0) e 1).
UsageAmount La quantità di utilizzo attribuita al tenant specificato.
CurrencyCode La valuta in cui si trovano il tasso e il costo (ad
esempio,USD).
Tariffa La tariffa di fatturazione per l'utilizzo, per unità.
Costo inquilino Il costo totale per tale risorsa per il tenant
specificato.
Regione LaAWSRegione della risorsa.
Nome Se sono stati creati tag delle risorse per le risorse
nel report Costo e utilizzo o tramite i dati di utilizzo
delle risorse,NomeIl tag viene mostrato qui.
Per ulteriori informazioni sui tag delle risorse,
consultaDettagli dei tag delle risorsenellaGuida per
l'utente del report di costi e utilizzo.
Di seguito è riportato un esempio di report di output per una risorsa per due ore.
PayerAccountId,UsageAccountId,LineItemType,UsageStartTime,UsageEndTime,ApplicationIdentifier,TenantIden
123456789012,123456789012,Usage,2021-02-01T00:00:00.000Z,2021-02-01T00:30:00.000Z,Canary,unattributed,,
east-1,test-tag
123456789012,123456789012,Usage,2021-02-01T00:30:00.000Z,2021-02-01T01:00:00.000Z,Canary,Tenant1,exampl
east-1,test-tag
123456789012,123456789012,Usage,2021-02-01T01:00:00.000Z,2021-02-01T02:00:00.000Z,Canary,Tenant4,exampl
east-1,test-tag
123456789012,123456789012,Usage,2021-02-01T01:00:00.000Z,2021-02-01T02:00:00.000Z,Canary,Tenant3,exampl
east-1,test-tag
123456789012,123456789012,Usage,2021-02-01T01:00:00.000Z,2021-02-01T02:00:00.000Z,Canary,Tenant2,exampl
east-1,test-tag
123456789012,123456789012,Usage,2021-02-01T01:00:00.000Z,2021-02-01T02:00:00.000Z,Canary,Tenant1,exampl
east-1,test-tag
In questo esempio, la prima ora viene assegnata aTenant1per metà del tempo. Rimane una
mezz'oraunattributed. Nella seconda ora, quattro inquilini sono tutti assegnati l'ora intera. In questo
caso, il fattore di scala li ridimensiona tutti di 0,25 e vengono tutti assegnati un quarto dell'ora. È possibile
vedere il costo finale nellaTenantCostcolonna.
16Application Cost Profiler Guida per l'utente
Service Quotas
AWSQuote e endpoint di profiler
costo applicazione
L'account AWS dispone delle seguenti quote predefinite, precedentemente definite limiti, per ogni servizio
AWS. Salvo dove diversamente specificato, ogni quota si applica aAWSSpecifico per la regione. Se per
alcune quote è possibile richiedere aumenti, altre quote non possono essere modificate.
Nelle seguenti tabelle sono elencate le quote di servizio per account e ilAWSEndpoint regione per
Application Cost Profiler.
Service Quotas
Risorsa Valore predefinito Descrizione
Percentuale 5 Il numero massimo
diPutReportDefinitionrichieste diPutReportDefinitionrichieste
al secondo per account.
Percentuale 5 Il numero massimo
diUpdateReportDefinitionrichieste diUpdateReportDefinitionrichieste
al secondo per account.
Percentuale 5 Il numero massimo
diGetReportDefinitionrichieste diGetReportDefinitionrichieste
al secondo per account.
Percentuale 5 Il numero massimo
diDeleteReportDefinitionrichieste diDeleteReportDefinitionrichieste
al secondo per account.
Percentuale 5 Il numero massimo
diListReportDefinitionsrichieste diListReportDefinitionsrichieste
al secondo per account.
Percentuale 5 Il numero massimo
diImportApplicationUsagerichieste diImportApplicationUsagerichieste
al secondo per account.
Dimensione massima del file di 10 MB La dimensione massima di un file
dati di utilizzo di dati di utilizzo orario.
Endpoint del servizio
Application Cost Profiler è un servizio globale. Tutte le chiamate API devono essere effettuate all'endpoint
Stati Uniti orientali (Virginia settentrionale).
• Stati Uniti orientali (Virginia settentrionale) – application-cost-profiler.us-
east-1.amazonaws.com
17Application Cost Profiler Guida per l'utente
Protezione dei dati
Sicurezza inAWSApplication Cost
Profiler
Per AWS, la sicurezza del cloud ha la massima priorità. In quanto cliente AWS, puoi trarre vantaggio da
un'architettura di data center e di rete progettata per soddisfare i requisiti delle organizzazioni più esigenti a
livello di sicurezza.
La sicurezza è una responsabilità condivisa tra te e AWS. Il modello di responsabilità condivisa descrive
questo modello come sicurezza del cloud e sicurezza nel cloud:
• La sicurezza del cloud:AWS è responsabile della protezione dell'infrastruttura che esegue i servizi AWS
nel AWS Cloud. AWS fornisce, inoltre, servizi utilizzabili in modo sicuro. I revisori di terze parti testano
regolarmente e verificano l'efficacia della nostra sicurezza nell'ambito dei Programmi di conformità
AWS. Per ulteriori informazioni sui programmi di conformità che si applicano a Application Cost Profiler,
consultaServizi AWS coperti dal programma di compliance.
• Sicurezza nel cloud: la tua responsabilità è determinata dal servizio AWS che viene utilizzato. Sei anche
responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e le leggi e le normative
applicabili.
Questa documentazione aiuta a comprendere come applicare il modello di responsabilità condivisa
quando si usaAWSApplication Cost Profiler. Viene illustrato come configurare Application Cost Profiler per
soddisfare gli obiettivi di sicurezza e conformità. Viene anche illustrato come utilizzare gli altriAWSservizi
che possono aiutarti a monitorare e proteggere le risorse di Application Cost Profiler.
Indice
• Protezione dei dati inAWSApplication Cost Profiler (p. 18)
• Identity and Access Management perAWSApplication Cost Profiler (p. 19)
• Convalida della conformità perAWSApplication Cost Profiler (p. 31)
• Resilienza inAWSApplication Cost Profiler (p. 31)
• Sicurezza dell'infrastruttura inAWSApplication Cost Profiler (p. 32)
Protezione dei dati inAWSApplication Cost Profiler
LaAWS modello di responsabilità condivisasi applica alla protezione dei dati inAWSApplication Cost
Profiler. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale
che esegue tutto l'AWS Cloud. L'utente è responsabile di mantenere il controllo sui contenuti ospitati su
questa infrastruttura. Questo contenuto include la configurazione della protezione e le attività di gestione
per i servizi Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consultare Domande
frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consultare il post del
blog relativo al Modello di responsabilità condivisa AWS e GDPR nel Blog sulla sicurezza negli AWS.
Per garantire la protezione dei dati, ti suggeriamo di proteggere le credenziali Account AWS e di
configurare singoli account utente con AWS Identity and Access Management (IAM). In questo modo, a
ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere il suo lavoro. Ti suggeriamo,
inoltre, di proteggere i dati nei seguenti modi:
• Utilizza l'autenticazione a più fattori (MFA) con ogni account.
18Application Cost Profiler Guida per l'utente
Crittografia dei dati a riposo
• Utilizza SSL/TLS per comunicare con risorse AWS. È consigliabile TLS 1.2 o versioni successive.
• Configura la registrazione delle API e delle attività degli utenti con AWS CloudTrail.
• Utilizza le soluzioni di crittografia AWS, insieme a tutti i controlli di sicurezza di default all'interno dei
servizi AWS.
• Utilizza i servizi di sicurezza gestiti avanzati, ad esempio Amazon Macie, che aiutano a individuare e
proteggere i dati personali archiviati in Amazon S3.
• Se si richiedono moduli crittografici convalidati FIPS 140-2 quando si accede ad AWS tramite una CLI o
un'API, utilizzare un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consultare il
Federal Information Processing Standard (FIPS) 140-2.
Ti suggeriamo vivamente di non inserire mai informazioni identificative sensibili, ad esempio i numeri di
account dei clienti, in campi a formato libero, ad esempio un campo Name (Nome). Questo include il lavoro
con Application Cost Profiler o altro.AWSservizi che utilizzano la console, l'API,AWS CLI, oppureAWSSDK.
I dati inseriti nei tag o nei campi in formato libero utilizzati per i nomi possono essere utilizzati per i registri
di fatturazione o di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni
sulle credenziali nell'URL per convalidare la tua richiesta a tale server.
Crittografia dei dati a riposo
AWSApplication Cost Profiler crittografa sempre tutti i dati memorizzati nel servizio a riposo senza
richiedere alcuna configurazione aggiuntiva. Questa crittografia è automatica quando si utilizza Application
Cost Profiler.
Per i bucket Amazon S3 forniti, devi crittografare il bucket del report e crittografare il bucket dei dati di
utilizzo e dare accesso a Application Cost Profiler. Per ulteriori informazioni, consultare . Configurazione dei
bucket Amazon S3 per Application Cost Profiler (p. 6) .
Crittografia dei dati in transito
AWSutilizza Application Cost Profiler utilizza Transport Layer Security (TLS) e la crittografia lato client per
la crittografia in transito. La comunicazione con Application Cost Profiler viene sempre eseguita tramite
HTTPS, in modo che i tuoi dati siano sempre crittografati durante il trasporto. La crittografia è configurata
per impostazione predefinita quando utilizzi Application Cost Profiler.
Identity and Access Management
perAWSApplication Cost Profiler
AWS Identity and Access Management (IAM) è un Servizio AWS che consente agli amministratori
di controllare in modo sicuro l'accesso alle risorse AWS. Gli amministratori IAM controllano chi può
essereautenticate(ha effettuato l'accesso) eautorizzati(disporre delle autorizzazioni) per utilizzare le risorse
Application Cost Profiler. IAM è un Servizio AWS che è possibile utilizzare senza alcun costo aggiuntivo.
Argomenti
• Destinatari (p. 20)
• Autenticazione con identità (p. 20)
• Gestione dell'accesso tramite policy (p. 22)
• ComeAWSApplication Cost Profiler funziona con IAM (p. 24)
• AWSEsempi di policy basate su identità di Application Cost Profiler (p. 26)
• Risoluzione dei problemiAWSIdentità e accesso di Application Cost Profiler (p. 29)
19Puoi anche leggere
