Em um mundo onde a complexidade dos sistemas de TI aumenta frequentemente, somado ao poder e à flexibilidade proporcionados pela computação em nuvem, os profissionais de TI se veem frente a desafios cada vez mais difíceis. Manter um controle eficiente sobre a segurança, custos e a organização de recursos dentro de ambientes em nuvem, como a AWS, torna-se um grande desafio.
Imagine gerenciar centenas, senão milhares, de instâncias, funções, e serviços sem uma forma simples de identificar, classificar e monitorar seu uso e custo. Este problema não só aumenta os custos operacionais, mas também pode levar a um aumento no risco de falhas de segurança e vazamentos de dados.
Tags são elementos simples, que adicionam dimensionalidade aos recursos de nuvem e que podem auxiliar a minimizar estes riscos. Por este motivo, se você ainda não utiliza tags no seu ambiente na AWS, apresento aqui 5 motivos pelos quais você deveria considerar esta prática.
Motivo 1: Segurança
Uma das grandes vantagens das Tags na AWS é a capacidade de implementá-las no controle de acesso baseado em atributos, também conhecido como Attribute-based Access Control (ABAC). Ao atribuir tags aos recursos de nuvem, temos a possibilidade de desenvolver políticas de IAM com condições específicas que levam em conta essa tag durante a fase de autorização. Proporcionando assim grande flexibilidade ao modelo de IAM, pois simplifica a definição do alcance de uma política. Interessado em entender como isso é ao mesmo tempo simples e eficaz?
Como exemplo, considerando o gerenciamento de uma infraestrutura na AWS que possui dois ambientes distintos: desenvolvimento e QA, ambos na mesma conta e região. Supondo que existe a necessidade de restringir o acesso às instâncias EC2 do ambiente de desenvolvimento exclusivamente aos desenvolvedores, enquanto o acesso ao ambiente de QA deve ser limitado ao time de QA, é possível adicionar uma tag denominada “Ambiente” ou “Environment” (em inglês) em todos os recursos relevantes e, em seguida, construir políticas de IAM que restrinjam o acesso a esses recursos com base na tag especificada. O próximo passo é simplesmente vincular as políticas criadas aos grupos de usuários específicos de Desenvolvimento e QA, estabelecendo assim o controle desejado.
Motivo 2: Gerenciamento de custos
Citando o bom e velho Tio Ben, “Com grandes poderes, vêm grandes responsabilidades”. A nuvem oferece inúmeros benefícios e uma flexibilidade sem precedentes. Entretanto, sem um controle de custos adequado, podemos comprometer a eficiência da nossa infraestrutura, resultando em gastos excessivos. Esse é um dos principais problemas nas empresas que iniciam sua jornada de
migração para a nuvem: fazer a migração sem um gerenciamento de custos (FinOps) e um planejamento para otimização de suas cargas de trabalho.
Ter as respostas para perguntas como: Quem gastou? Onde foi gasto? E por que foi gasto? São fundamentais para uma gestão de custos eficaz.
Nesse contexto, as tags surgem como uma excelente ferramentas para obter essas respostas e detalhar os custos na nuvem. Por exemplo, é possível adicionar uma tag de “Centro de Custo” (Cost Center) a todos os recursos, facilitando a identificação de como os gastos de infraestrutura são alocados via Billing da AWS. Outro cenário, adicionando uma tag de projeto permite identificar os custos de nuvem relacionados a cada projeto.
Mas e se, após adicionar as tags, os custos ainda não estiverem visíveis? Na AWS, simplesmente adicionar tags aos recursos não é suficiente para obter o detalhamento necessário. Outro requisito é realizar uma configuração adicional no Billing, definindo essas tags como CostAllocationTags, ou Tags de Alocação de Custo. Aí sim, será possível utilizá-las para este controle.
Motivo 3: Automação
Como discutido anteriormente, adicionam tags dimensionalidade aos recursos de nuvem. A sua utilização simplifica a seleção de grupos específicos de recursos para processos automatizados, tais como os Runbooks do Systems Manager. Utilizando tags, é possível, por exemplo, desligar automaticamente conjuntos específicos de máquinas virtuais fora do horário comercial, gerando economia para a empresa. Esta prática é especialmente relevante, visto que muitas empresas não necessitam de seus ambientes não-produtivos após o expediente.
Por exemplo, é possível utilizar uma tag de Ambiente (“Environment”) com o valor “Development” para identificar quais instâncias EC2 devem ser desligadas em horários específicos. Essa automação pode ser criada utilizando Lambda Functions, e rules agendadas do EventBridge para controlar o funcionamento dessas instâncias.
Inclusive, existe uma solução no AWS Solutions chamada “Instance Scheduler” que emprega uma abordagem semelhante, utilizando uma tag “Schedule” (por padrão, mas customizável) ao invés de “Environment”. Mais detalhes sobre essa solução podem ser encontrados aqui.
Motivo 4: Organização
Quem nunca se questionou, ao listar recursos na AWS, sobre o proprietário de uma determinada instância EC2, o criador de um bucket S3, ou os requisitos de conformidade de um banco de dados?
Em ambientes com poucos recursos, essas questões podem ser facilmente resolvidas, especialmente em times menores. No entanto, à medida que a escala aumenta para centenas ou até milhares de recursos, a complexidade para identificar essas informações cresce exponencialmente.
Nesta situação, as tags são essenciais para responder estas perguntas, adicionando contexto na organização dos recursos. Implementar tags que representam variáveis como “Criador”, “Dono”, “Ambiente”, “Equipe”, “Projeto”, “Produto”, e “Finalidade” ou “Função” são importantes para garantir a ordem do ambiente.
Utilizar a estratégia de tagging correta somada a utilização de ferramentas como os Resource Groups da AWS, simplifica significativamente a gestão de infraestruturas complexas.
Motivo 5: Regulamentação e conformidade
Se você faz parte de uma empresa que necessita cumprir com normas de entidades reguladoras, especialmente aquelas atuando nos setores financeiro ou de saúde, o uso de tags oferece benefícios significativos. Elas permitem a identificação clara das exigências regulatórias ou de conformidade que cada recurso ou carga de trabalho deve atender.
Por exemplo, se sua organização desenvolve um gateway de pagamento e armazena dados de cartões de crédito, certamente deverá aderir à normativa PCI-DSS. Implementando uma tag de Compliance com o valor PCI-DSS nos recursos relevantes, é possível utilizar esta tag em automações e ferramentas de segurança para filtrar e garantir a conformidade desses recursos críticos. Ferramentas como o Amazon Inspector para investigações, automações via Systems Manager, e regras de conformidade no AWS Config, podem usar essa tag para assegurar o cumprimento das normativas necessárias.
Por fim…
A implementação estratégica de tags na AWS é uma necessidade. Ao adotar uma abordagem adequada, as organizações podem não só melhorar a gestão atual de recursos, mas também preparar suas infraestruturas para desafios futuros. Mas vale ressaltar que, para começar com o pé direito na sua utilização, é importante identificar as dimensões críticas e estabelecer uma estratégia clara para evitar criar tags desnecessárias, ou desalinhadas com as necessidades da empresa. Tags sem propósito específico apenas adicionam ruído. Assim, uma abordagem cuidadosa prepara o terreno para inovações sustentáveis e uma gestão de recursos na nuvem mais eficiente e segura.
