Governare i costi AWS in ambienti multi-account

Con l'espansione dell'adozione del cloud, cresce anche la complessità nel monitorare e gestire i costi. Avere una visione centralizzata, chiara e strutturata delle spese AWS è oggi un elemento essenziale per mantenere la sostenibilità economica del cloud nel tempo. Quando si lavora con più account — come accade in molte aziende strutturate, team agili o realtà multi-progetto — diventa ancora più fondamentale dotarsi di strumenti adatti. In questo scenario, AWS offre diverse funzionalità pensate per supportare una gestione efficace e proattiva dei costi.

Immaginate di dover gestire i costi di un'azienda che utilizza quindici account AWS diversi, distribuiti tra team di sviluppo, ambienti di staging, progetti clienti e iniziative di ricerca. Senza una strategia strutturata, ogni account genererebbe la propria fattura, con il proprio set di tag inconsistenti, rendendo più complesso capire quanto costa davvero un progetto o quale team sta generando la maggior parte delle spese. Questo scenario impatta concretamente la gestione finanziaria del cloud.

In questo articolo esploreremo come AWS Organizations, il Consolidated Billing, i Cost Allocation Tags e i Data Export possano lavorare in sinergia per costruire un ecosistema di governance del costo sempre più scalabile, tracciabile e allineato agli obiettivi aziendali. Vedremo come trasformare la gestione del multi-account in un sistema più efficiente che non solo semplifica la fatturazione, ma abilita decisioni strategiche basate su dati precisi e aggiornati

Il primo passo per una gestione ordinata in ambienti multi-account è l'adozione di AWS Organizations. Questo servizio consente di aggregare più account sotto una struttura gerarchica controllata da un account principale, detto management account ( o più comunemente master account ). Tale account ha la visione e il controllo su tutti gli altri, pur lasciando a ciascuno di essi la propria autonomia operativa.

Pensate a Organizations come al sistema nervoso centrale della vostra infrastruttura multi-account. Dal punto di vista della gestione finanziaria, il vantaggio è duplice: da un lato abilita il consolidated billing, dall'altro consente l'applicazione sempre più coerente di policy, tag e strumenti di controllo. Le Organizational Units permettono di raggruppare logicamente account per team, progetto o funzione, facilitando l'applicazione di regole comuni e la segmentazione della spesa.

Una struttura ben pensata permette quindi non solo di governare gli accessi o le autorizzazioni, ma anche di avere una visione chiara della distribuzione dei costi. In ambienti dinamici, con decine o centinaia di account, questo rappresenta un elemento critico per mantenere il controllo finanziario e favorire l'innovazione dei team.

Il consolidated billing rappresenta uno dei benefici più tangibili offerti da AWS Organizations. Grazie a questo meccanismo, diventa possibile aggregare la fatturazione di tutti gli account membri in un'unica fattura centralizzata. Questo semplifica drasticamente la gestione amministrativa, poiché l'azienda riceve un solo documento, pur continuando ad avere la possibilità di analizzare la spesa per singolo account.

I benefici, tuttavia, vanno ben oltre la semplificazione contabile. Il consolidated billing consente di ottenere sconti su scala più rapidamente. Quando due team diversi utilizzano lo stesso tipo di servizio in account distinti, i loro consumi vengono sommati per raggiungere più velocemente gli scaglioni di sconto previsti da AWS, come nel caso delle istanze EC2 o dello storage S3. Questo effetto di aggregazione può tradursi in risparmi significativi, specialmente per organizzazioni che stanno crescendo rapidamente.

Dal punto di vista operativo, ciascun account continua a essere indipendente per quanto riguarda la gestione delle risorse, ma la visione della spesa è unificata. Questo consente a chi si occupa di FinOps o di cloud governance di mantenere tracciabilità e controllo senza bloccare l'autonomia dei team o rallentare i processi di sviluppo.

Aggregare i costi rappresenta un ottimo punto di partenza, ma per poterli analizzare in modo utile diventa necessario aggiungere contesto significativo. Questo è il ruolo fondamentale dei Cost Allocation Tags: etichette chiave-valore che permettono di classificare le risorse AWS in base a criteri rilevanti per l'organizzazione.

Una volta applicati e attivati a livello di billing, i tag diventano parte integrante dei report di spesa, consentendo di filtrare e aggregare i costi per progetto, cliente, team o ambiente. Questa granularità trasforma dati grezzi di fatturazione in informazioni business-relevant che supportano decisioni strategiche.

In ambienti multi-account, l'uso efficace dei tag richiede coerenza e rigore assoluti. Senza una strategia coordinata, infatti, i tag tendono a diventare un linguaggio di Babele digitale: ogni team usa le proprie convenzioni, creando inconsistenze che rendono impossibile confrontare o aggregare i dati. Una buona governance dei tag prevede quindi l'introduzione di convenzioni di nomenclatura chiare, la definizione di tag obbligatori per ogni nuova risorsa e l'uso di strumenti come AWS Tag Policies o AWS Config per verificare la loro corretta applicazione.

Molte aziende scelgono di utilizzare tag standard come Environment, BusinessUnit, Project e Owner, rendendoli obbligatori nei template di provisioning o nell'utilizzo del Service Catalog. Questo approccio, se ben implementato, garantisce che ogni risorsa AWS abbia un'identità tracciabile e che i costi possano essere segmentati con precisione chirurgica.

Per sviluppare una comprensione davvero profonda dei costi, diventa necessario andare oltre la console e accedere ai dati grezzi e strutturati. Il Data Export, evoluzione del precedente Cost and Usage Report, rappresenta lo strumento che permette di raggiungere questo livello di analisi approfondita.

Una volta abilitato, il Data Export genera file CSV compressi che riportano il dettaglio completo dei costi per ogni risorsa, ogni tag, ogni servizio e soprattutto ogni account dell’organizzazione. Questi file vengono automaticamente salvati in un bucket S3 e possono essere aggiornati su base giornaliera o addirittura oraria, fornendo una granularità temporale eccezionale.

La vera potenza di questi dati si esprime quando vengono integrati con AWS Glue e interrogati tramite Amazon Athena, rendendo possibile l'analisi SQL-like dei dati di spesa. Questo approccio abilita la costruzione di un sistema di reportistica completamente personalizzato, integrato con dashboard, alert e strumenti di business intelligence esistenti.

A livello pratico, questa configurazione permette di rispondere a domande complesse che altrimenti rimarrebbero senza risposta: qual è il costo mensile di un progetto trasversale a più account? Quanto incide un singolo servizio su una determinata business unit? Quali risorse sono attive ma non taggate, o associate a tag non validi? Una volta costruita questa pipeline di analisi, i team FinOps possono operare con dati completi, aggiornati e altamente granulari, supportando scelte informate su ottimizzazione, riallocazione dei costi o previsioni di budget.

Una buona strategia di tagging non può limitarsi all'uso volontario dei tag da parte dei team. In ambienti distribuiti, diventa essenziale adottare politiche formali e automatismi che garantiscano consistenza nel tempo. Senza un approccio strutturato, infatti, i tag tendono rapidamente a diventare inconsistenti, incompleti o addirittura fuorvianti, vanificando completamente gli sforzi di tracciabilità dei costi.

La prima componente di una governance efficace è rappresentata dalle Tag Policies. Queste politiche, applicabili attraverso AWS Organizations, consentono di definire regole precise sui tag che possono essere utilizzati, sui valori ammessi e sui formati richiesti. Pensate alle Tag Policies come a un dizionario condiviso che impedisce errori di ortografia o interpretazione.

Ad esempio, diventa possibile imporre che il tag "Environment" accetti esclusivamente valori come "Production", "Staging", "Development" o "Test", evitando varianti non autorizzate come "Prod", "Dev" o valori completamente arbitrari. Questa standardizzazione elimina la confusione che nasce quando diversi team utilizzano convenzioni diverse per esprimere lo stesso concetto.

Il secondo pilastro della governance è rappresentato dall'integrazione con AWS Config, che permette di creare regole automatiche per monitorare la compliance delle risorse. Attraverso regole predefinite o personalizzate, diventa possibile ricevere notifiche immediate quando vengono create risorse prive di tag obbligatori, oppure generare report periodici sulla copertura dei tag nell'intera organizzazione.

Questo approccio reattivo si rivela particolarmente prezioso per identificare lacune nella strategia di tagging prima che compromettano l'accuratezza dei report di costo. Invece di scoprire a fine mese che una parte significativa delle risorse non è correttamente categorizzata, il sistema vi avverte in tempo reale, permettendo correzioni immediate.

AWS Control Tower offre un framework ancora più ampio per introdurre governance strutturata fin dalla creazione di nuovi account. Attraverso i suoi guardrail e le baseline di sicurezza, diventa possibile garantire che ogni nuovo account segua automaticamente standard predefiniti di tagging e compliance, creando un ecosistema più ordinato e tracciabile sin dal primo giorno.

L'automazione rappresenta il terzo elemento fondamentale di una strategia efficace. Integrare i controlli sui tag nelle pipeline CI/CD garantisce che nessuna risorsa venga rilasciata in produzione senza i metadati necessari. Questo approccio "shift-left" trasforma la governance da attività correttiva in processo preventivo.

L'Infrastructure as Code rappresenta il vettore ideale per implementare questa automazione. Attraverso strumenti come Terraform, CloudFormation o CDK, diventa possibile codificare direttamente nella definizione dell'infrastruttura i tag obbligatori, eliminando la dipendenza dalla disciplina manuale dei team e garantendo consistenza su tutti i deployment.

Un esempio pratico con Terraform mostra come implementare tag automatici derivati dal contesto del deployment:

# Provider configurato per applicare tag di default a livello globale
provider "aws" {
  region = var.aws_region
 
  # Tutti i servizi supportati riceveranno automaticamente questi tag
  default_tags {
    tags = local.common_tags
  }
}

# Definizione delle variabili standard per il tagging
locals {
  common_tags = {
    Environment   = var.environment
    Project      = var.project_name
    BusinessUnit = var.business_unit
    Owner        = var.team_email
    CostCenter   = var.cost_center. #Abilitato come Cost Allocation Tag
    CreatedBy    = "terraform"
    CreatedDate  = timestamp()
  }
}

# Applicazione automatica dei tag a tutte le risorse EC2
resource "aws_instance" "web_server" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = var.instance_type
 
  # I tag vengono applicati automaticamente senza intervento manuale con l’aggiunta dei seguenti
  tags = {
    Name = "${var.project_name}-web-${var.environment}"
    Role = "webserver"
  })
}

Similarmente, con CloudFormation è possibile implementare una strategia sistematica attraverso i parametri e le mappings:

AWSTemplateFormatVersion: '2010-09-09'
Description: 'Template con tagging automatico standardizzato'
 
Parameters:
  Environment:
    Type: String
    AllowedValues: [Development, Staging, Production]
    Description: 'Ambiente di deployment'
 
  ProjectName:
    Type: String
    Description: 'Nome del progetto per il tagging'
 
  BusinessUnit:
    Type: String
    AllowedValues: [DigitalServices, Infrastructure, RnD]
    Description: 'Business Unit di appartenenza'
 
# Mapping per derivare automaticamente il cost center dalla business unit
Mappings:
  BusinessUnitMapping:
    DigitalServices:
      CostCenter: "CC-DS-001"
    Infrastructure:
      CostCenter: "CC-INF-002"
    RnD:
      CostCenter: "CC-RND-003"
 
Resources:
  WebServerInstance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: ami-0c02fb55956c7d316
      InstanceType: t3.micro
      # I tag vengono costruiti dinamicamente utilizzando funzioni CloudFormation
      Tags:
        - Key: Environment
          Value: !Ref Environment
        - Key: Project
          Value: !Ref ProjectName
        - Key: BusinessUnit
          Value: !Ref BusinessUnit
        - Key: CostCenter
          Value: !FindInMap [BusinessUnitMapping, !Ref BusinessUnit, CostCenter]
        - Key: CreatedBy
          Value: CloudFormation
        - Key: StackName
          Value: !Ref AWS::StackName

Questo approccio programmatico alla governance dei tag elimina la variabilità umana dall'equazione, garantendo che ogni risorsa creata attraverso l'Infrastructure as Code rispetti automaticamente gli standard aziendali. La chiave del successo risiede nel rendere il tagging corretto più semplice del tagging scorretto, integrando i controlli direttamente nel flusso di sviluppo naturale dei team.

Questo disegno architetturale mostra l’applicazione dei concetti trattati nell’articolo. Non è un implementazione completa ma sufficiente per l’esempio sotto riportato.

Per rendere questi concetti più concreti e comprensibili, consideriamo l'implementazione in un'azienda media con tre business unit distinte: Customer Services, Internal Services e Sandbox. Ciascuna unità opera con propri account AWS, ma l'obiettivo strategico è mantenere una visibilità centralizzata sui costi senza perdere l'agilità operativa dei singoli team.

La struttura Organization viene organizzata con tre Organizational Unit principali, ciascuna contenente gli account della rispettiva business unit. Questa architettura facilita l'applicazione di policy specifiche per ogni area. Vengono definiti tag obbligatori come "BusinessUnit", "Project", "Environment", "CostCenter" e "Owner", con valori rigorosamente controllati attraverso Tag Policies specifiche per ogni OU.

Il Data Export viene configurato per generare report giornalieri, processati automaticamente attraverso una pipeline che utilizza AWS Glue per la trasformazione dei dati e Amazon Athena per l'interrogazione. Viene creata una dashboard centralizzata che mostra i costi aggregati per business unit, progetto e ambiente, aggiornata quotidianamente e accessibile a tutti gli stakeholder interessati.

Per garantire la compliance nel tempo, vengono implementate regole Config che verificano sistematicamente la presenza dei tag obbligatori e inviano notifiche automatiche al team FinOps in caso di violazioni. Inoltre, i template CloudFormation utilizzati come standard dai team includono parametri obbligatori per i tag business-critical, impedendo la creazione accidentale di risorse non correttamente tracciate.

Questo approccio sistematico e coordinato ha permesso all'azienda di ottenere visibilità completa sui costi entro trenta giorni dall'implementazione, riducendo il tempo necessario per l'allocazione mensile dei costi e identificando opportunità di ottimizzazione della spesa totale AWS

Una volta implementata la struttura di governance, diventa fondamentale mantenere un processo strutturato di monitoraggio e miglioramento continuo. I dati generati dal Data Export non servono esclusivamente per la reportistica mensile, ma possono rivelare pattern interessanti e opportunità di ottimizzazione.

L'analisi approfondita dei trend di spesa per tag può evidenziare progetti che stanno crescendo oltre le previsioni iniziali, ambienti di test che generano costi non ottimizzati rispetto al loro valore, o servizi sottoutilizzati che potrebbero essere consolidati o eliminati. Inoltre, l'incrocio sistematico dei dati di costo con i tag di ownership permette di identificare rapidamente risorse "orfane" o mal gestite, che sfuggono ai controlli tradizionali.

Diventa importante stabilire review periodiche, tipicamente mensili o trimestrali, per valutare l'efficacia della strategia di tagging implementata e apportare aggiustamenti mirati. Queste sessioni dovrebbero coinvolgere attivamente rappresentanti di tutti i team che utilizzano AWS, creando una cultura condivisa di responsabilità sui costi che va oltre il semplice controllo finanziario.

Alcuni indicatori chiave da monitorare sistematicamente includono la percentuale di risorse correttamente taggate, la distribuzione equilibrata dei costi per business unit o progetto, l'identificazione tempestiva di anomalie nei pattern di spesa abituali e il tracking preciso delle ottimizzazioni implementate nel tempo. Questi KPI aiutano a mantenere alta l'attenzione sul tema della governance finanziaria e a dimostrare concretamente il valore dell'investimento nella strutturazione implementata.

Gestire i costi in AWS in ambienti multi-account non può basarsi su strumenti isolati o analisi manuali. Richiede un sistema ben progettato, che unisca visione centralizzata, granularità nell'attribuzione, automazione nel tracciamento e capacità di analisi profonda.

AWS Organizations, Consolidated Billing, i Cost Allocation Tags e il Data Export formano insieme un ecosistema potente per costruire una governance del costo solida, trasparente e scalabile. Se configurati correttamente, questi strumenti non solo aiutano ad ottimizzare i flussi di costo, ma permettono di prendere decisioni più consapevoli, sostenere una crescita sostenibile e mantenere la fiducia nella scalabilità del cloud.

L'integrazione dell'Infrastructure as Code in questa strategia rappresenta un elemento distintivo fondamentale. Come abbiamo visto negli esempi con Terraform e CloudFormation, automatizzare il tagging attraverso il codice dell'infrastruttura trasforma la compliance da processo manuale e in caratteristica intrinseca del deployment.

L'esperienza dimostra che le organizzazioni che adottano un approccio strutturato alla governance dei costi ottengono risultati significativi: maggiore visibilità, decisioni più rapide, allocazione più precisa delle spese e, in definitiva, un utilizzo più efficiente degli investimenti cloud.

In definitiva, non si tratta solo di sapere quanto si sta spendendo, ma di capire dove, perché e come si può migliorare. Una governance ben implementata trasforma la gestione dei costi da attività reattiva e in processo proattivo e strategico, abilitando una crescita sostenibile nel cloud che supporta l'innovazione.