Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた
Search
YukihiroChiba
April 27, 2021
Technology
1
21k
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた話です。遊ぶな。
YukihiroChiba
April 27, 2021
Tweet
Share
More Decks by YukihiroChiba
See All by YukihiroChiba
わたしの業務の中に住み着いたCacoo/Cacoo has taken up residence in my work routine
yukihirochiba
0
880
Amazon VPCでの IPv6利用に向けた はじめの一歩/first-step-towards-using-ipv6-in-amazon-vpc
yukihirochiba
0
380
AWS IAM の結果整合性を避けるためセッションポリシーを用いてポリシーの動作確認を行う、を解説する
yukihirochiba
0
760
SSMエージェントはIAMロールの夢を見るか/ Do SSM Agents Dream Of IAM Roles?
yukihirochiba
0
2.3k
AWS IAM の知っておくべき話と知らなくてもいい話 DevIO2023/ AWS IAM DevIO 2023
yukihirochiba
0
3.2k
デジタルアイデンティティWGミニウェビナー第4回「IaaSとアイデンティティ」/ jnsa-iaas-identity
yukihirochiba
0
660
学習エンジンがうなりを上げているチームの作り方 / How to build a team with a learning engine humming along
yukihirochiba
0
3.9k
Amazon Route 53 Application Recovery Controller zonal shift 試してみた
yukihirochiba
0
1.8k
re:Growth 2022 Amazon Verified Permissions/妄想を膨らませる_チバユキ
yukihirochiba
0
5.2k
Other Decks in Technology
See All in Technology
サイバー攻撃を想定したセキュリティガイドライン 策定とASM及びCNAPPの活用方法
syoshie
3
1.3k
継続的にアウトカムを生み出し ビジネスにつなげる、 戦略と運営に対するタイミーのQUEST(探求)
zigorou
0
590
第3回Snowflake女子会_LT登壇資料(合成データ)_Taro_CCCMK
tarotaro0129
0
190
Oracle Cloud Infrastructure:2024年12月度サービス・アップデート
oracle4engineer
PRO
0
190
生成AIのガバナンスの全体像と現実解
fnifni
1
190
Oracle Cloudの生成AIサービスって実際どこまで使えるの? エンジニア目線で試してみた
minorun365
PRO
4
280
事業貢献を考えるための技術改善の目標設計と改善実績 / Targeted design of technical improvements to consider business contribution and improvement performance
oomatomo
0
100
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
yuj1osm
0
220
Google Cloud で始める Cloud Run 〜AWSとの比較と実例デモで解説〜
risatube
PRO
0
110
LINE Developersプロダクト(LIFF/LINE Login)におけるフロントエンド開発
lycorptech_jp
PRO
0
120
バクラクのドキュメント解析技術と実データにおける課題 / layerx-ccc-winter-2024
shimacos
2
1.1k
Opcodeを読んでいたら何故かphp-srcを読んでいた話
murashotaro
0
260
Featured
See All Featured
The Language of Interfaces
destraynor
154
24k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Code Reviewing Like a Champion
maltzj
520
39k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
170
BBQ
matthewcrist
85
9.4k
KATA
mclloyd
29
14k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
0
98
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
Testing 201, or: Great Expectations
jmmastey
40
7.1k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Transcript
*".ϩʔϧΛ ݸ࡞ͬͯ༡ΜͰ͍ͨΒ "84ར༻අ͕υϧΛ͍͑ͯͨ ઍ༿ʢνόϢΩʣ
ࠓ࣋ͪؼ͍͖͍ͬͯͨͩͨ͜ͱ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ ʁʁʁʁʁ
ࣗݾհ ɾ20201݄Ϋϥεϝιου ೖࣾ ɾITΤϯδχΞྺ7ऑɺ ɹɹ͏ͪAWSྺ6ऑ ɾAWSԿΘ͔ΒΜɻɻ😇 ɾ࠲ӈͷɿ ɹʮIAM ϩʔϧ͓໘ͷΑ͏ͳͷʯ
ಥવͰ͕͢ ͜Μͳ͜ͱɺΑ͋͘Γ·ͤΜ͔ʁʁ
͋Γ;Εͨৗͷ෩ܠ
͋Γ;Εͨৗͷ෩ܠ ʮ͋ʔ……ʯ
͋Γ;Εͨৗͷ෩ܠ ʮIAMϩʔϧ ɹ1000ݸ ɹɹ࡞Γ͍ͨͳ……ʯ ʮ͋ʔ……ʯ
͋ʔʜʜ *".ϩʔϧ ɹݸ ࡞Γ͍ͨͳᴸᴸᴸ
͍ͱͨ͘͢ߦΘΕΔߟྀͷΓͳ͍ߦҝ ʮͲ͏ͤ IAM ͬͯ ɹɹແྉͩ͠ͳʯ Θͨ͠
͍ͱͨ͘͢ߦΘΕΔߟྀͷΓͳ͍ߦҝ ʮͲ͏ͤ IAM ͬͯ ɹɹແྉͩ͠ͳʯ ˛Կ͔͕ߦΘΕ͍ͯΔ༷ࢠ Կ͔Λ͢ΔΘͨ͠
શ༰ͪ͜ΒΛͲ͏ͧ Զୡ͍ͭ·Ͱཱͪਚ͘͠ ݟͭΊ͍ͯͨᴸᴸᴸ ଟͷ*".ϩʔϧ͕ҠΖ͏Α͏ ʹ࿈͍ͯ͘͠ɺͦͷ͞·Λɻ
:PV`WF(PU"/PUJpDBUJPO ✉ 💨💨💨
:PV`WF(PU"/PUJpDBUJPO
:PV`WF(PU"/PUJpDBUJPO 65.3υϧ
:PV`WF(PU"/PUJpDBUJPO 65.3υϧ 👁👁 👄 ͕ܲ౾మ๒ΛᷰΒͬͨΑ͏ͳإΛ͢ΔΘͨ͠
γϯΩϯάλΠϜ ʮߟ͑Ζᴸᴸߟ͑ΔΜͩᴸᴸᴸʜʜʯ
ʁʁ ʁʁ ݪҼ$POpHͰͨ͠ 👁 👁 ʮ*".ϩʔϧΛݸ࡞ͬͨΒ ɹ֤Ϧʔδϣϯͷ$POpHʹิ͞Ε·ͨ͠ʯ ʮෆཁͳهΛࢭΊ·ͨ͠ʯ ʁʁʁʁ
ʁʁʁ ʁʁʁʁ
ݪҼ$POpHͰͨ͠ 👁 👁 ʮ*".ϩʔϧΛݸ࡞ͬͨΒ ɹ֤Ϧʔδϣϯͷ$POpHʹิ͞Ε·ͨ͠ʯ ʮෆཁͳهΛࢭΊ·ͨ͠ʯ
$POpH $POpH <ίϯϑΟά>
"84$POpHͱ l"84$POpHɺ"84ϦιʔεͷઃఆΛධՁɺࠪɺ৹ࠪͰ͖ΔαʔϏεͰ͢ɻ $POpHͰɺ"84Ϧιʔεͷઃఆ͕ܧଓతʹϞχλϦϯά͓Αͼه͞Εɺ ·ΕΔઃఆʹର͢Δه͞ΕͨઃఆͷධՁΛࣗಈతʹ࣮ߦͰ͖·͢ɻz https:// aws.amazon.com/jp/ config/ https://www.slideshare.net/ AmazonWebServicesJapan/
20190618-aws-black-belt- online-seminar-aws-config
5SBJMͱ$POpHͷҧ͍ A͞Μ B͞Μ ΠϯελϯεA Πϯελϯε ৽ن࡞ Πϯελϯε λΠϓมߋ
m5.xlarge m5.large
5SBJMͱ$POpHͷҧ͍ A͞Μ B͞Μ ΠϯελϯεA Πϯελϯε ৽ن࡞ Πϯελϯε λΠϓมߋ
m5.xlarge m5.large Cloud Trail AWS Config
ͦΕΛ౿·͑ͯ Կ͕ى͍ͬͯͨ͜ͷ͔
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͪΐ ͬͯΈ͔ͬʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϩʔϧΛ ͨ͘͞Μ ࡞Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϙϦγʔΛ ͦΕͧΕ ͚ͭΔͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͨΜ আ͢Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϩʔϧΛ ͨ͘͞Μ ࡞Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϙϦγʔΛ ͦΕͧΕ ͚ͭΔͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͨΜ আ͢Δͧʂ
શ෦هͯ͠·ͨ͠Α ώΟ શ෦ه ͯ͠·ͨ͠Α ౦ژͷ Config ʁʁʁ
ࢲશ෦هͯ͠·ͨ͠Α ώΟ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ࢲ
શ෦ه ͯ͠·ͨ͠Α
ح۰ͩͳɺԶهͯͨ͠Α ώΟ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ح۰ͩͳɺ
Զهͯͨ͠Α ϜϯόΠͷ Config ʁʁʁ
ʮʮʮ͓͍͓͍ɺԶͨͪΛΕΔͳΑʜʁʯʯʯ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ح۰ͩͳɺ Զهͯͨ͠Α
ϜϯόΠͷ Config ʁʁʁ ֤Ϧʔδϣϯͷ Configͨͪ ʁʁʁ ώϡο ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ͓͍͓͍ɺ ԶͨͪΛ ΕΔͳΑʜʁ ͓͍͓͍ɺ ԶͨͪΛ ΕΔͳΑʜʁ
֤Ϧʔδϣϯʢݸʣͷ$POpH ౦ژͷ Config όʔδχΞͷ Config ϜϯόΠͷ Config ֤Ϧʔδϣϯͷ Configͨͪ
͋Γ͕ͱ͏ ͍͟͝·͢
νϦੵΕυϧ͑Δ 46υϧ 5υϧ 20213݄શମ 20214݄த० ʮ͓΅Ζ͛ͳ͕Β ු͔ΜͰ͖ͨΜͰ͢ɻʯ
$POpHͷྉۚ ɾه͞Εͨઃఆ߲͝ͱʹ0.003USD ɾ1000ΠϕϯτͰ3USD ɾIAM άϩʔόϧϦιʔεͳͷͰ ɹશϦʔδϣϯͷ Config ͕ه ͋Γ͕ͱ͏
͍͟͝·͢
$POpH͚ͩ͡Όͳ͍ େྔͷAPIίʔϧ Ͳ͏ͨ͠ Ͳ͏ͨ͠ Ͳ͏ͨ͠ Ͳ͏ͨ͠ ֤Ϧʔδϣϯͷ Trail ֤Ϧʔδϣϯͷ
GuardDuty
5SBJMͱ(VBSE%VUZͷྉۚ Ճͷίϐʔ ৴͞Εͨ ཧΠϕϯτ͋ͨΓ64% 6υϧ Trail 9υϧ GuardDuty ສΠϕϯτ͋ͨΓ64%
ສΠϕϯτ͋ͨΓ64%
͘͠͡Βͳ͍ͨΊʹ Ͳ͏͢Εආ͚ΒΕͨͷ͔
̏ͭ͋Γ·͢ • ɹ • ɹ • ɹ
̏ͭ͋Γ·͢ • IAMϩʔϧͰ༡ͳ͍ • ɹ • ɹ
̏ͭ͋Γ·͢ • IAMϩʔϧͰ༡ͳ͍ • ྉۚʹ͍ͭͯͷ௨Λ༗ޮԽ͢Δ • ɹ
ྫ͑ • ٻΞϥʔτ • AWS Budgets • ࡞ΓࠐΈʹΑΔఆظऔಘ https://dev.classmethod.jp/articles/
aws-budgets-alert-by-aws-chatbot/ https://dev.classmethod.jp/articles/ notify-slack-aws-billing/
ࢲͬͯ·͢ ͍ʜʜ
̏ͭ • IAMϩʔϧͰ༡ͳ͍ • ྉۚʹ͍ͭͯͷ௨Λ༗ޮԽ͢Δ • ConfigͷϕετϓϥΫςΟεʹ ͷͬͱΔ
$POpHͷϕετϓϥΫςΟε https:// aws.amazon.com/jp/ blogs/news/aws- config-best-practices/ Config ϕετϓϥΫςΟε ϒϩά |
ݕࡧ 20ݸͷϓϥΫςΟε
$POpHͷϕετϓϥΫςΟεʢൈਮʣ 1. ͯ͢ͷΞΧϯτͱϦʔδϣϯͰ AWS Config Λ༗ޮʹ͢Δ 2. ͯ͢ͷϦιʔελΠϓͷઃఆมߋΛه͢Δ 3.
1ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ 4. ઃఆཤྺͱεφοϓγϣοτϑΝΠϧΛऩू͢ΔϓϥΠϕʔτ ͳ S3 όέοτΛ༻͢Δ 5. ……
ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ ౦ژͷ Config ֤Ϧʔδϣϯͷ Configͨͪ ࢲ͚͕ͩ ه͠·͢ …… ͍ʜʜ
ҰํͰ
$POpHͷϕετϓϥΫςΟεʢൈਮʣ 1. ͯ͢ͷΞΧϯτͱϦʔδϣϯͰ AWS Config Λ༗ޮʹ͢Δ 2. ͯ͢ͷϦιʔελΠϓͷઃఆมߋΛه͢Δ 3.
1ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ 4. ઃఆཤྺͱεφοϓγϣοτϑΝΠϧΛऩू͢ΔϓϥΠϕʔτ ͳ S3 όέοτΛ༻͢Δ 5. …… ͷͬͱΔͷ͕ ϚετͰͳ͍
$POpHͷهରͷબ https://docs.aws.amazon.com/ja_jp/ config/latest/developerguide/resource- config-reference.html ݸऑͷ ϦιʔελΠϓͷத͔Β ඞཁͷΈΛબ
ຊʹه͕ඞཁʁίετΛҙࣝ͠Α͏ ྫʣAutoScaling ؔ࿈Ϧιʔε͕ͯ͢هରͱͳΔͨΊɺ සൟʹஔ͖͕͑ߦΘΕΔ߹ɺ ίετ͕ਹΉ͜ͱɻ Auto scaling Instance Elastic
network interface Volume Security group શ෦هʹ͢ඞཁ ͋Δ͔ͳʁ
৽نରԠϦιʔεهͯ͘͠ΕΔͷخ͍͚͠ΕͲ 2021/2/26 •Configͷهର͕૿͑ͨ •ʮͯ͢Λهʯͷ߹ɺ৽نͷରࣗ ಈతʹه։࢝ •͜Ε·Ͱൃੜ͍ͯ͠ͳ͔ͬͨίετ͕ٸʹ ૿͑ͨɺͱ͍͏͜ͱى͜Γ͏Δ
ه͢Δ͜ͱΛݪଇͱͭͭ͠ίετҙࣝ • هΛ͢ͷେࣄ • ίετݟ߹͍ͰऔࣺબΛ Config Trail GuardDuty Ϧιʔεͷ
ઃఆ༰Λ ه͠·͢ ΠϕϯτΛ ه͠·͢ ෆ৹ͳ ΞΫςΟϏςΟΛ ݕ͠·͢
·ͱΊ
࣋ͪؼ͍ͬͯͩ͘͞ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ
࣋ͪؼ͍ͬͯͩ͘͞ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ ʮIAMϩʔϧͰ༡ΜͰ͍͚ͳ͍ʯ