AWS Cost Anomaly Detection & AI-Powered Cost Investigation with Amazon Q
trungtin tranIntroduction
1. Overview
1.1 AWS Cost Anomaly Detection là gì?
AWS Cost Anomaly Detection là dịch vụ thuộc AWS Billing and Cost Management (một phần của AWS Cost Explorer), sử dụng Machine Learning để tự động phát hiện các chi phí bất thường (cost anomalies) trong tài khoản AWS của bạn.
Thay vì phải tự mình theo dõi bill hàng ngày, bạn chỉ cần thiết lập monitor và alert subscription - Cost Anomaly Detection sẽ tự động học từ lịch sử chi phí và cảnh báo ngay khi phát hiện chi tiêu vượt mức bất thường.
1.2 Tại sao cần AWS Cost Anomaly Detection?
Trên AWS, chi phí có thể tăng đột biến bất ngờ vì nhiều lý do — từ cấu hình sai, lỗi tự động scale, cho đến unauthorized usage. Điều nguy hiểm là không phải lúc nào anomaly cũng là một cú đột biến rõ ràng — nhiều khi chi phí tăng dần dần (gradual increase), rất khó nhận ra bằng mắt cho đến khi bill cuối tháng "nổ".
Đây là lúc AWS Cost Anomaly Detection phát huy tác dụng. Dịch vụ giúp:
- Phát hiện sớm cả đột biến một lần lẫn tăng dần, trước khi nhận bill cuối tháng
- Tự phân tích root cause — chỉ ra service/account/region nào gây ra anomaly, đỡ phải điều tra thủ công
- Cảnh báo kịp thời qua email / SNS / Slack / Teams để xử lý nhanh
Nhờ vậy, bạn có thể tiết kiệm hàng trăm đến hàng nghìn USD trước khi nhận bill cuối tháng.
1.3 Ba thành phần chính
| Thành phần | Vai trò |
|---|---|
| Cost Monitor | Định nghĩa phạm vi giám sát: theo AWS service, linked account, cost category, hay cost allocation tag |
| ML Model | Tự động phát hiện anomaly và phân tích root cause |
| Alert Subscription | Thiết lập ngưỡng cảnh báo và kênh nhận thông báo (email, SNS, Slack) |
1.4 Cơ chế hoạt động
AWS Cost Anomaly Detection sử dụng multi-layered Machine Learning để đánh giá chi tiêu theo 4 bước:
- Học từ lịch sử: ML model phân tích lịch sử chi tiêu, nhận diện patterns theo ngày/tuần/tháng, theo mùa vụ (seasonality)
- Xác định baseline: Tính toán mức chi tiêu "bình thường" dự kiến cho từng service/account/region
- Phát hiện bất thường: So sánh actual spend với expected spend, cảnh báo khi vượt ngưỡng bất thường
- Phân tích root cause: Xác định service, account, region và usage type nào đóng góp nhiều nhất vào anomaly
Cost Anomaly Detection sử dụng unblended net cost data — số tiền thực tế phải trả sau khi đã áp dụng tất cả discount (Reserved Instances, Savings Plans,...).
2. Các khái niệm quan trọng
2.1 Cost Monitor & Monitor Types
AWS Cost Anomaly Detection hỗ trợ 4 loại monitor dimension, mỗi loại có hai phương thức quản lý:
| Monitor Dimension | AWS Managed | Customer Managed |
|---|---|---|
| AWS Services | Tự động theo dõi tất cả services | Không hỗ trợ |
| Linked Accounts | Tự động theo dõi tất cả member accounts | Chọn tối đa 10 accounts cụ thể |
| Cost Allocation Tags | Tự động theo dõi tất cả values của tag key | Chọn tối đa 10 tag values cụ thể |
| Cost Categories | Tự động theo dõi tất cả values trong category | Chọn 1 category value cụ thể |
Khuyến nghị: Bắt đầu với AWS Services — AWS recommend loại này vì theo dõi từng service riêng lẻ, giúp phát hiện anomaly nhỏ ở một service cụ thể.
Những điểm quan trọng cần lưu ý:
- "AWS Services" monitor: chỉ tạo được 1 monitor duy nhất trên mỗi account. Với tài khoản mới, AWS sẽ tự động tạo sẵn một AWS-managed monitor mặc định khi bạn bật Cost Explorer.
- Member accounts chỉ có thể tạo loại "AWS Services", không tạo được các loại khác
- "Linked Accounts" - Customer Managed: monitor theo dõi tổng chi tiêu gộp của tất cả accounts được chọn. Ví dụ: Account A tăng $100, Account B giảm $100 → không bị detect vì tổng không đổi
Sự khác biệt quan trọng giữa Management account "Linked Accounts" và Member account "AWS Services":
| Management account (Linked Accounts) | Member account (AWS Services) | |
|---|---|---|
| Giám sát | Tổng chi tiêu gộp của account | Từng AWS service riêng lẻ |
| Kịch bản | S3 tăng $100, EC2 giảm $100 → không detect | S3 tăng $100, EC2 giảm $100 → detect (theo từng service) |
2.2 Alert Subscription & Threshold
- Ba loại alert frequency:
| Loại | Khi nào nhận | Channel | Use case |
|---|---|---|---|
| Individual alerts | Ngay khi phát hiện anomaly vượt threshold (có thể nhiều lần/ngày) | Amazon SNS (hoặc AWS User Notifications) | Cần phản ứng nhanh |
| Daily summaries | Một email/ngày, gộp các anomaly phát hiện trong ngày | FinOps daily review | |
| Weekly summaries | Một email/tuần, tóm tắt anomaly cả tuần | Báo cáo tuần |
Mỗi alert subscription có thể cấu hình tối đa 10 email recipients hoặc 1 SNS topic. Với individual alerts, kênh gửi mặc định là Amazon SNS — từ đó có thể đẩy tiếp sang Slack / Microsoft Teams / Amazon Chime qua AWS Chatbot.
- Hai loại threshold, có thể kết hợp AND/OR:
- Absolute threshold: alert khi
Actual Spend - Expected Spend > $X - Percentage threshold: alert khi
(Actual Spend - Expected Spend) / Expected Spend * 100 > Y%
- Absolute threshold: alert khi
Lưu ý: threshold chỉ quyết định khi nào gửi alert, không ảnh hưởng đến thuật toán phát hiện anomaly. Anomaly dưới ngưỡng vẫn được ghi nhận và xem được trong detection history.
2.3 Detection Timing
- Sau khi billing data được xử lý, detection chạy khoảng 3 lần/ngày trên dữ liệu net unblended cost (chi phí thực sau khi đã áp dụng mọi discount)
- Vì dùng dữ liệu từ Cost Explorer (vốn trễ tới 24h), nên có thể mất tối đa 24 giờ để phát hiện anomaly sau khi usage xảy ra
- Monitor mới tạo cần 24 giờ để bắt đầu hoạt động
- Service lần đầu sử dụng cần 10 ngày lịch sử để ML model thiết lập baseline và có thể detect
AWS đã giảm detection latency tối đa 30% vào tháng 5/2024. Để cần monitoring nhanh hơn, kết hợp thêm AWS Budgets với individual alerts qua SNS.
3. What's new: AI-Powered Cost Investigation with Amazon Q (June 2026)
Ngày 8/6/2026, AWS ra mắt AI-powered cost investigation tích hợp trực tiếp vào Cost Anomaly Detection, dùng Amazon Q để phân tích root cause theo kiểu hội thoại. Tính năng miễn phí; chỉ cross-account investigation qua CloudWatch Logs Insights mới phát sinh phí theo lượng data scanned.
Trước đây, điều tra một anomaly đòi hỏi đối chiếu thủ công Cost Explorer với CloudTrail events và resource activity theo từng account/region — tốn hàng giờ. Với tính năng này, quá trình rút còn vài phút, kết quả trình bày bằng ngôn ngữ tự nhiên.
Mỗi investigation xoay quanh 5 câu hỏi nền tảng về một thay đổi chi phí:
- What — service, account, region, usage type nào thay đổi
- When — thời điểm thay đổi xảy ra
- Where — khu vực/account nơi phát sinh
- Who — (với usage-driven) IAM principal nào thực hiện API call gây ra thay đổi, đối chiếu với CloudTrail
- Why — giải thích plain-language kết nối toàn bộ các điểm trên
Phân loại cốt lõi — usage-driven hay rate-driven?
Trước tiên Amazon Q xác định bản chất anomaly để chọn hướng phân tích:
- Usage-driven — dùng nhiều tài nguyên hơn ở cùng mức giá → truy CloudTrail tìm API call và IAM principal gây ra.
- Rate-driven — giá hoặc discount thay đổi (vd: Savings Plans reallocation) → phân tích cost composition, không có API call.
Cách dùng
Bạn có thể đặt câu hỏi tiếp theo (follow-up) để đi sâu vào từng dịch vụ, tài khoản hoặc tài nguyên cụ thể. Với tổ chức có cấu hình organization-wide CloudTrail trail, investigation tự động chạy trên toàn bộ member accounts. Cùng khả năng này cũng có sẵn trong AWS FinOps Agent, nên có thể chạy ngay trong công cụ team đang dùng.
Nút
Investigate with Amazon Qxuất hiện sẵn trên trang anomaly detail cho account có Amazon Q Developer access.
4. Best practices
4.1 AWS Budgets vs AWS Cost Anomaly Detection — dùng cái nào?
Câu trả lời là dùng cả hai vì mục đích khác nhau hoàn toàn:
| Tiêu chí | AWS Budgets | AWS Cost Anomaly Detection |
|---|---|---|
| Mục đích | Theo dõi chi tiêu theo ngân sách định sẵn | Phát hiện chi tiêu bất thường so với baseline |
| Cách hoạt động | So sánh actual spend với budget bạn đặt | ML model học từ lịch sử và detect anomaly |
| Alert khi nào | Vượt % hoặc số tiền budget | Phát hiện pattern bất thường, dù chưa vượt budget |
Ví dụ: Budget $1,000/tháng, chi tiêu đang tăng dần lên $900 → Budgets cảnh báo. Nhưng nếu trong một ngày chi tiêu tăng vọt từ $30 lên $200 (vẫn trong budget) → chỉ Cost Anomaly Detection mới phát hiện được.
4.2 Best practices cho tổ chức nhiều accounts (AWS Organizations)
Thiết lập được khuyến nghị theo hai tầng:
Tầng 1 — Management account:
- Tạo monitor type "AWS Services" tại management account
- Monitor này theo dõi individual services across toàn bộ member accounts
- Alert subscription gửi về team CCoE hoặc FinOps
Tầng 2 — Member accounts (tùy nhu cầu):
- Với các account có nhiều resource biến động, tạo thêm monitor "AWS Services" tại chính account đó
- Alert subscription gửi về team phụ trách account đó
Cost monitor và alert subscription chỉ visible trong account tạo ra chúng — đây là lý do cần set up cả hai tầng khi số lượng member accounts lớn hoặc CCoE không đủ nhân lực xử lý toàn bộ.
5. Pricing & Limits
5.1 Pricing
AWS Cost Anomaly Detection miễn phí hoàn toàn. Chi phí có thể phát sinh từ:
- CloudWatch Logs Insights: Khi dùng cross-account investigation với organization trail (tính theo lượng data scanned)
- Amazon SNS: Phí gửi message cho individual alerts (rất nhỏ)
5.2 Service Limits
| Giới hạn | Mức tối đa |
|---|---|
| "AWS Services" monitor mỗi account | 1 |
| Các monitor type khác mỗi management account | 500 |
| Alert subscriptions mỗi account | 100 |
| Accounts/tag values mỗi customer managed monitor | 10 |
| Lịch sử anomaly có thể xem | 90 ngày |
5.3 Các service không được hỗ trợ
Cost Anomaly Detection không detect anomaly cho: AWS Marketplace, AWS Support, Amazon WorkSpaces, AWS Cost Explorer, Budgets, AWS Shield, Amazon Route 53, AWS Certificate Manager, prepaid/recurring reservation fees, và Savings Plan fees.
5.4 Limitations của AI Investigation
- Chỉ xác định được IAM principal với configuration changes (launch EC2, deploy Lambda, create S3 bucket,...) — không thể với data operations (S3 GetObject, DynamoDB GetItem,...) vì CloudTrail không capture mặc định
- CloudTrail event availability phụ thuộc vào retention config — anomaly cũ có thể thiếu CloudTrail attribution
- Resource-level cost data từ Cost Explorer chỉ available cho 14 ngày gần nhất
- Anomaly data được archive sau 90 ngày
Lab Introduction
- AWS experience: Beginner
- Time to complete: 30 minutes
- AWS Region: US East (N. Virginia) us-east-1
- Services used: AWS Cost Anomaly Detection, Amazon SNS, Amazon Q
Task Details
- Activate Cost Anomaly Detection
- Create Cost Monitor
- Configure Alert Subscription (Email / SNS / Slack)
- View Detected Anomalies & Submit Assessment
- Investigate with Amazon Q
- Clean up
1. Activate Cost Anomaly Detection
Cost Anomaly Detection được kích hoạt tự động khi bạn bật AWS Cost Explorer lần đầu tiên.
Vào AWS Billing and Cost Management console → Cost Explorer → Launch Cost Explorer
Sau khi Cost Explorer được enable, truy cập Cost Anomaly Detection từ navigation pane.
Nếu account enable Cost Explorer từ ngày 27/3/2023 trở đi (áp dụng cho standalone account hoặc management account), AWS sẽ tự động tạo sẵn một default configuration của Cost Anomaly Detection, gồm: (1) một AWS service monitor theo dõi chi tiêu theo từng dịch vụ AWS đang và sẽ được deploy, và (2) một daily email subscription gửi email tóm tắt hàng ngày đến email chính của account khi phát hiện anomaly có chi tiêu thực tế vượt $100 và vượt 40% so với chi tiêu dự kiến.
2. Create Cost Monitor
Vào AWS Billing and Cost Management console → Cost Anomaly Detection → Cost monitors → Create monitor
Step 1 - Choose monitor type:
- Monitor name:
d-cost-anomaly-detection-monitor-all-aws-services - Monitor method:
Managed by AWS- Managed by AWS: AWS tự động theo dõi tất cả các giá trị một cách độc lập (mỗi service/account/tag được đánh giá riêng), tối đa 5.000 giá trị. Không cần chọn thủ công, tự mở rộng khi tổ chức lớn lên — ít phải bảo trì.
- Customer managed: Bạn tự chọn các giá trị cụ thể muốn theo dõi, và chúng được đánh giá gộp chung (in aggregate).
- Monitor dimension:
AWS services- AWS services (Recommended): Đánh giá từng dịch vụ AWS độc lập, ngưỡng anomaly tự điều chỉnh theo lịch sử chi tiêu của mỗi service. Lưu ý: mỗi account chỉ được tạo 1 AWS services monitor.
- Linked Account: Theo dõi chi tiêu theo từng tài khoản con. Hữu ích khi tổ chức phân chia team/sản phẩm/môi trường theo linked account.
- Cost Category: Theo dõi theo các cost category do bạn tự định nghĩa.
- Cost Allocation Tag: Theo dõi theo tag key/value. Phù hợp khi bạn phân bổ chi phí bằng cost allocation tag.
- Tags (optional) :
- Key:
Name - Value:
d-cost-anomaly-detection-monitor-all-aws-services
- Key:
→ Chọn Next
Step 2 - Configure alert subscriptions:
Alert subscription #1
- Alert subscription:
Create a new subscription - Subscription name:
d-cost-anomaly-detection-alert-subscription-daily - Alerting frequency:
Daily summaries - Alert recipients: nhập email của bạn
- Threshold:
$2amount above expected spend— cảnh báo khi chi tiêu thực tế vượt dự kiến từ $2 trở lên.10percent above expected spend— cảnh báo khi chi tiêu thực tế vượt dự kiến từ 10% trở lên.
Vì dùng OR, chỉ cần thỏa một trong hai điều kiện là nhận được cảnh báo.
- Tags (optional) :
- Key:
Name - Value:
d-cost-anomaly-detection-alert-subscription-daily
- Key:
Nếu muốn tạo thêm nhiều alert subscription khác nữa, nhấn nút Add alert subscription.
→ Chọn Create monitor
- Hoàn tất
3. Configure Real-Time Alerts with Amazon SNS
Email đã nhập khi tạo monitor chỉ gửi daily summary (tóm tắt cuối ngày). Để nhận cảnh báo ngay lập tức (real-time) cho từng anomaly — và mở khả năng tích hợp automation như Slack, Lambda,.v.v — ta dùng Individual alert qua Amazon SNS.
3.1 Create an Amazon SNS Topic
Vào Amazon SNS console → Create topic:
- Type:
Standard - Name:
d-sns-cost-anomaly-alert
Sau khi tạo topic, cập nhật Access policy:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSAnomalyDetectionSNSPublishingPermissions",
"Effect": "Allow",
"Principal": {
"Service": "costalerts.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:ACCOUNT_ID:d-sns-cost-anomaly-alert",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "ACCOUNT_ID"
}
}
}
]
}
3.2 Subscribe Email to SNS topic
- Vào topic
d-sns-cost-anomaly-alertvừa tạo → Create subscription
- Sau khi hoàn thành thì trạng thái của subscription như bên dưới. Endpoint email đang
Pending confirmation
- Bạn sẽ nhận 1 email confirming your subscription to your email. Trường hợp không có trong Inbox, bạn kiểm tra trong mục Spam.
- Hoàn tất
- Mở rộng các kênh nhận thông báo khác: SNS topic là điểm phân phối trung tâm — bạn có thể thêm nhiều loại subscriber khác nhau vào cùng topic này để nhận alert qua nhiều kênh:
- AWS Lambda — Create subscription → Protocol:
AWS Lambda→ chọn function. Dùng để xử lý tùy biến (gọi webhook, tạo ticket Jira/PagerDuty, ghi log...). - Slack / Microsoft Teams / Amazon Chime — Không subscribe trực tiếp, mà đi qua AWS Chatbot (nay là Amazon Q Developer in chat applications): tạo chatbot configuration map SNS topic này tới channel/room.
- Receiving anomaly alerts in chat applications (tài liệu chính cho Slack/Chime): https://docs.aws.amazon.com/cost-management/latest/userguide/cad-alert-chime.html
- AWS Lambda — Create subscription → Protocol:
3.3 Create an Individual Alert Subscription in Cost Anomaly Detection
Vào AWS Billing and Cost Management console → Cost Anomaly Detection → Alert subscriptions → Create a subscription
Subscription details
- Subscription name:
d-cost-anomaly-detection-alert-individual - Alerting frequency:
Individual alerts - Enter an Amazon SNS ARN:
nhập SNS topic ARN vừa tạo ở step 3.1 - Threshold:
$2amount above expected spend— cảnh báo khi chi tiêu thực tế vượt dự kiến từ $2 trở lên.10percent above expected spend— cảnh báo khi chi tiêu thực tế vượt dự kiến từ 10% trở lên.
Vì dùng OR, chỉ cần thỏa một trong hai điều kiện là nhận được cảnh báo.
Cost monitors:
- ✅
d-cost-anomaly-detection-monitor-all-aws-services
Tags (optional) :
- Key:
Name - Value:
d-cost-anomaly-detection-alert-individual
→ Chọn Create monitor
4. View Detected Anomalies & Submit Assessment
4.1 View Detected Anomalies
Sau khi monitor chạy, kiểm tra tab Detected anomalies:
- Detected anomalies — Cột mặc định
| Cột | Ý nghĩa |
|---|---|
| Start date | Ngày mà anomaly bắt đầu. |
| Last detected | Lần gần nhất anomaly được phát hiện. |
| Duration | Khoảng thời gian anomaly kéo dài. Một anomaly có thể vẫn đang tiếp diễn (ongoing). |
| Cost impact | Mức tăng chi tiêu so với chi tiêu dự kiến. Tính bằng actual spend - expected spend. VD: cost impact $20 nghĩa là phát hiện mức tăng $20 ở một dịch vụ trong tổng số ngày tương ứng. |
| Impact % | Phần trăm chênh lệch giữa actual và expected spend. Tính bằng (cost impact / expected spend) * 100. VD: cost impact $20, expected $60 → 33.33%. Khi expected spend = 0 thì hiển thị "N/A". |
| Monitor name | Tên của anomaly monitor. |
| Top root cause (Service) | Dịch vụ là nguyên nhân chính. Bấm vào tên dịch vụ sẽ hiển thị 3 chiều còn lại: account, Region, usage type. |
| View more | Link tới trang Anomaly details (root cause analysis + cost impact), kèm số lượng root cause được phát hiện. |
- Detected anomalies — Cột tùy chọn (optional)
| Cột | Ý nghĩa |
|---|---|
| Account | Account ID và account name gây ra anomaly. Nếu trống → AWS phát hiện anomaly nhưng chưa xác định được root cause. |
| Region | Region được xác định là top root cause của anomaly. |
| Usage type | Usage type được xác định là top root cause của anomaly. |
| Expected spend | Số tiền ML model dự đoán bạn sẽ chi trong kỳ anomaly, dựa trên lịch sử chi tiêu. |
| Actual spend | Tổng số tiền thực tế đã chi trong kỳ anomaly. |
| Assessment | Đánh giá để cải thiện hệ thống. Giá trị: Not submitted, Not an issue, Accurate anomaly. |
| Severity | Mức độ bất thường so với lịch sử. Thấp = tăng nhỏ, cao = tăng lớn. Nhưng tăng nhỏ trên nền ổn định → high; tăng lớn trên nền thất thường → low. |
4.2 Submit Assessment
Từ tab Detected anomalies, chọn một anomaly để mở trang Anomaly details, rồi chọn Submit assessment.
Submit Assessment — gửi feedback để cải thiện ML model:
- Accurate anomaly: Phát hiện đúng, đây thực sự là anomaly
- Not an issue: Phát hiện đúng sự kiện nhưng chi tiêu này là bình thường (vd: migration đã lên kế hoạch)
AWS khuyến khích submit assessment sau mỗi lần nhận alert để model ngày càng chính xác hơn.
5. Investigating anomaly root causes with Amazon Q Developer
Từ tab Detected anomalies, chọn một anomaly để mở trang Anomaly details, rồi chọn Investigate with Amazon Q
Amazon Q sẽ tự động chạy một chuỗi phân tích, không cần bạn thao tác thêm:
- Truy vấn Cost Management APIs để lấy dữ liệu chi phí của anomaly
- Xác định service đóng góp chính (ví dụ: Amazon EC2 – Compute)
- Đối chiếu với CloudTrail events trong khung thời gian anomaly — lọc theo các API liên quan (
RunInstances,TerminateInstances,CreateAutoScalingGroup,UpdateAutoScalingGroup…) - Tính toán cost impact và dựng visualization
- Tổng hợp kết quả bằng ngôn ngữ tự nhiên
Đặc điểm đáng chú ý qua ví dụ này
- Phân loại đúng usage-driven: thay đổi đến từ hành vi tạo tài nguyên (launch instance), nên Amazon Q truy CloudTrail và quy được về đúng IAM principal (
admin) — minh họa rõ phần "Who". - Timeline ghép từ CloudTrail: thể hiện đúng các câu hỏi When / Where — từng mốc thời gian, từng AZ, từng API call.
Follow-up questions
Amazon Q giữ context cả phiên hội thoại, bạn có thể hỏi tiếp để đi sâu, ví dụ về phạm vi ảnh hưởng (single account hay toàn org?)
"Is the cost concentrated in a single account or spread across the organization?"
Amazon Q tự chạy thêm truy vấn để trả lời — lần này nó gọi GetCostAndUsage group theo LINKED_ACCOUNT, so sánh ngày anomaly (22/6) với khung 2 tuần (13–26/6), và kèm link View in Cost Explorer để bạn tự kiểm chứng:
Kết luận: anomaly tập trung hoàn toàn ở một account, không lan ra toàn org.
- 100% chi phí đến từ 1 account duy nhất
- $0.0999 trong ngày anomaly (22/6); các account khác trong org không có chi phí EC2 Compute trong kỳ
- Pattern: baseline $0.00 → $0.0225 (21/6) → $0.0999 (22/6) → về $0.00 từ 23/6
- Đây là sự kiện cục bộ, đơn lẻ, không phải vấn đề chi phí toàn tổ chức
Kiểm tra email thông báo
- Individual alerts (nhận ngay khi phát hiện anomaly)
- Daily summary (nhận tổng hợp hằng ngày)
6. Clean up
- Cost monitors tab → chọn monitor → Delete
- Alert subscriptions tab → chọn subscription → Delete
- Xóa SNS topic nếu đã tạo
Tổng kết
AWS Cost Anomaly Detection là dịch vụ miễn phí trong AWS Cost Management, dùng Machine Learning để tự động phát hiện chi tiêu bất thường và phân tích nguyên nhân — giúp bạn bắt sớm cả những đợt tăng đột biến lẫn tăng dần trước khi nhận bill cuối tháng.
Những điểm cốt lõi cần nhớ:
- 3 thành phần: Cost Monitor (định nghĩa phạm vi giám sát) → ML Model (phát hiện & phân tích root cause) → Alert Subscription (ngưỡng + kênh thông báo).
- 3 mức thông báo: Individual alert (qua SNS, ngay khi phát hiện), Daily summary và Weekly summary (qua email). Threshold chỉ quyết định khi nào gửi alert, không ảnh hưởng việc phát hiện.
- Tần suất & độ trễ: detection chạy ~3 lần/ngày, độ trễ tới 24h; monitor mới cần 24h, service mới cần 10 ngày lịch sử.
- AI-Powered Investigation (Amazon Q): điều tra root cause từ hàng giờ xuống vài phút, trả lời bằng ngôn ngữ tự nhiên, đối chiếu CloudTrail để truy ra IAM principal, và cho hỏi follow-up — như demo đã thấy với anomaly EC2.
Khuyến nghị thực tế:
- Bật ngay cho mọi account — vì miễn phí và gần như không có rủi ro; với account mới, AWS đã tự tạo sẵn một AWS Services monitor + daily email.
- Bắt đầu với monitor "AWS Services" để phát hiện anomaly ở từng service riêng lẻ, rồi mới thêm monitor theo account/tag/category khi cần.
- Đặt threshold hợp lý: để monitor chạy vài ngày, xem detection history để biết mức cost impact thông thường, rồi set ngưỡng.
- Submit assessment sau mỗi alert để ML model ngày càng chính xác hơn.
- Với tổ chức nhiều account: thiết lập hai tầng (management + member account) và cân nhắc cấu hình organization-wide CloudTrail trail để tận dụng cross-account investigation của Amazon Q.
AWS Cost Anomaly Detection không thay thế AWS Budgets — hai dịch vụ bổ trợ nhau: Budgets canh theo ngân sách cố định, Cost Anomaly Detection bắt các bất thường so với baseline dù chưa vượt budget. Dùng cả hai để vừa kiểm soát hạn mức, vừa phát hiện sớm cost shock.