Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた
Search
YukihiroChiba
April 27, 2021
Technology
1
20k
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた話です。遊ぶな。
YukihiroChiba
April 27, 2021
Tweet
Share
More Decks by YukihiroChiba
See All by YukihiroChiba
わたしの業務の中に住み着いたCacoo/Cacoo has taken up residence in my work routine
yukihirochiba
0
740
Amazon VPCでの IPv6利用に向けた はじめの一歩/first-step-towards-using-ipv6-in-amazon-vpc
yukihirochiba
0
16
AWS IAM の結果整合性を避けるためセッションポリシーを用いてポリシーの動作確認を行う、を解説する
yukihirochiba
0
670
SSMエージェントはIAMロールの夢を見るか/ Do SSM Agents Dream Of IAM Roles?
yukihirochiba
0
2.1k
AWS IAM の知っておくべき話と知らなくてもいい話 DevIO2023/ AWS IAM DevIO 2023
yukihirochiba
0
3.1k
デジタルアイデンティティWGミニウェビナー第4回「IaaSとアイデンティティ」/ jnsa-iaas-identity
yukihirochiba
0
630
学習エンジンがうなりを上げているチームの作り方 / How to build a team with a learning engine humming along
yukihirochiba
0
3.8k
Amazon Route 53 Application Recovery Controller zonal shift 試してみた
yukihirochiba
0
1.6k
re:Growth 2022 Amazon Verified Permissions/妄想を膨らませる_チバユキ
yukihirochiba
0
5k
Other Decks in Technology
See All in Technology
LandingZoneAccelerator と学ぶ 「スケーラブルで安全なマルチアカウントAWS環境」と 私たちにもできるベストプラクティス
maimyyym
1
130
DroidKaigi 2024 たすけて!ViewModel
mhidaka
5
570
Privacy Sandbox on Android / DroidKaigi 2024
7pairs
1
170
React Aria で実現する次世代のアクセシビリティ
ryo_manba
4
1.2k
やってやろうじゃないかメカアジャイル! / Let's do it, mechanical agile!
psj59129
1
180
Developer Experienceを向上させる基盤づくりの取り組み事例集
coconala_engineer
0
120
Swift Testingのconfirmationを コードリーディング/Dive into Swift Testing confirmation
laprasdrum
1
230
OCI で始める!! Red Hat OpenShift / Get Started OpenShift on OCI
oracle4engineer
PRO
1
130
Functional TypeScript
naoya
11
4.6k
DevRelの始め方
moongift
PRO
1
280
Analytics-Backed App Widget Development - Served with Jetpack Glance
miyabigouji
0
340
Tricentisにおけるテスト自動化へのAI活用ご紹介/20240910Shunsuke Katakura
shift_evolve
0
180
Featured
See All Featured
Designing with Data
zakiwarfel
98
5k
Designing the Hi-DPI Web
ddemaree
278
34k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
32k
Creatively Recalculating Your Daily Design Routine
revolveconf
215
12k
It's Worth the Effort
3n
182
27k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
43
2k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
502
140k
10 Git Anti Patterns You Should be Aware of
lemiorhan
653
58k
Making Projects Easy
brettharned
113
5.8k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.4k
Imperfection Machines: The Place of Print at Facebook
scottboms
263
13k
Transcript
*".ϩʔϧΛ ݸ࡞ͬͯ༡ΜͰ͍ͨΒ "84ར༻අ͕υϧΛ͍͑ͯͨ ઍ༿ʢνόϢΩʣ
ࠓ࣋ͪؼ͍͖͍ͬͯͨͩͨ͜ͱ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ ʁʁʁʁʁ
ࣗݾհ ɾ20201݄Ϋϥεϝιου ೖࣾ ɾITΤϯδχΞྺ7ऑɺ ɹɹ͏ͪAWSྺ6ऑ ɾAWSԿΘ͔ΒΜɻɻ😇 ɾ࠲ӈͷɿ ɹʮIAM ϩʔϧ͓໘ͷΑ͏ͳͷʯ
ಥવͰ͕͢ ͜Μͳ͜ͱɺΑ͋͘Γ·ͤΜ͔ʁʁ
͋Γ;Εͨৗͷ෩ܠ
͋Γ;Εͨৗͷ෩ܠ ʮ͋ʔ……ʯ
͋Γ;Εͨৗͷ෩ܠ ʮIAMϩʔϧ ɹ1000ݸ ɹɹ࡞Γ͍ͨͳ……ʯ ʮ͋ʔ……ʯ
͋ʔʜʜ *".ϩʔϧ ɹݸ ࡞Γ͍ͨͳᴸᴸᴸ
͍ͱͨ͘͢ߦΘΕΔߟྀͷΓͳ͍ߦҝ ʮͲ͏ͤ IAM ͬͯ ɹɹແྉͩ͠ͳʯ Θͨ͠
͍ͱͨ͘͢ߦΘΕΔߟྀͷΓͳ͍ߦҝ ʮͲ͏ͤ IAM ͬͯ ɹɹແྉͩ͠ͳʯ ˛Կ͔͕ߦΘΕ͍ͯΔ༷ࢠ Կ͔Λ͢ΔΘͨ͠
શ༰ͪ͜ΒΛͲ͏ͧ Զୡ͍ͭ·Ͱཱͪਚ͘͠ ݟͭΊ͍ͯͨᴸᴸᴸ ଟͷ*".ϩʔϧ͕ҠΖ͏Α͏ ʹ࿈͍ͯ͘͠ɺͦͷ͞·Λɻ
:PV`WF(PU"/PUJpDBUJPO ✉ 💨💨💨
:PV`WF(PU"/PUJpDBUJPO
:PV`WF(PU"/PUJpDBUJPO 65.3υϧ
:PV`WF(PU"/PUJpDBUJPO 65.3υϧ 👁👁 👄 ͕ܲ౾మ๒ΛᷰΒͬͨΑ͏ͳإΛ͢ΔΘͨ͠
γϯΩϯάλΠϜ ʮߟ͑Ζᴸᴸߟ͑ΔΜͩᴸᴸᴸʜʜʯ
ʁʁ ʁʁ ݪҼ$POpHͰͨ͠ 👁 👁 ʮ*".ϩʔϧΛݸ࡞ͬͨΒ ɹ֤Ϧʔδϣϯͷ$POpHʹิ͞Ε·ͨ͠ʯ ʮෆཁͳهΛࢭΊ·ͨ͠ʯ ʁʁʁʁ
ʁʁʁ ʁʁʁʁ
ݪҼ$POpHͰͨ͠ 👁 👁 ʮ*".ϩʔϧΛݸ࡞ͬͨΒ ɹ֤Ϧʔδϣϯͷ$POpHʹิ͞Ε·ͨ͠ʯ ʮෆཁͳهΛࢭΊ·ͨ͠ʯ
$POpH $POpH <ίϯϑΟά>
"84$POpHͱ l"84$POpHɺ"84ϦιʔεͷઃఆΛධՁɺࠪɺ৹ࠪͰ͖ΔαʔϏεͰ͢ɻ $POpHͰɺ"84Ϧιʔεͷઃఆ͕ܧଓతʹϞχλϦϯά͓Αͼه͞Εɺ ·ΕΔઃఆʹର͢Δه͞ΕͨઃఆͷධՁΛࣗಈతʹ࣮ߦͰ͖·͢ɻz https:// aws.amazon.com/jp/ config/ https://www.slideshare.net/ AmazonWebServicesJapan/
20190618-aws-black-belt- online-seminar-aws-config
5SBJMͱ$POpHͷҧ͍ A͞Μ B͞Μ ΠϯελϯεA Πϯελϯε ৽ن࡞ Πϯελϯε λΠϓมߋ
m5.xlarge m5.large
5SBJMͱ$POpHͷҧ͍ A͞Μ B͞Μ ΠϯελϯεA Πϯελϯε ৽ن࡞ Πϯελϯε λΠϓมߋ
m5.xlarge m5.large Cloud Trail AWS Config
ͦΕΛ౿·͑ͯ Կ͕ى͍ͬͯͨ͜ͷ͔
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͪΐ ͬͯΈ͔ͬʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϩʔϧΛ ͨ͘͞Μ ࡞Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϙϦγʔΛ ͦΕͧΕ ͚ͭΔͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͨΜ আ͢Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϩʔϧΛ ͨ͘͞Μ ࡞Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϙϦγʔΛ ͦΕͧΕ ͚ͭΔͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͨΜ আ͢Δͧʂ
શ෦هͯ͠·ͨ͠Α ώΟ શ෦ه ͯ͠·ͨ͠Α ౦ژͷ Config ʁʁʁ
ࢲશ෦هͯ͠·ͨ͠Α ώΟ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ࢲ
શ෦ه ͯ͠·ͨ͠Α
ح۰ͩͳɺԶهͯͨ͠Α ώΟ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ح۰ͩͳɺ
Զهͯͨ͠Α ϜϯόΠͷ Config ʁʁʁ
ʮʮʮ͓͍͓͍ɺԶͨͪΛΕΔͳΑʜʁʯʯʯ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ح۰ͩͳɺ Զهͯͨ͠Α
ϜϯόΠͷ Config ʁʁʁ ֤Ϧʔδϣϯͷ Configͨͪ ʁʁʁ ώϡο ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ͓͍͓͍ɺ ԶͨͪΛ ΕΔͳΑʜʁ ͓͍͓͍ɺ ԶͨͪΛ ΕΔͳΑʜʁ
֤Ϧʔδϣϯʢݸʣͷ$POpH ౦ژͷ Config όʔδχΞͷ Config ϜϯόΠͷ Config ֤Ϧʔδϣϯͷ Configͨͪ
͋Γ͕ͱ͏ ͍͟͝·͢
νϦੵΕυϧ͑Δ 46υϧ 5υϧ 20213݄શମ 20214݄த० ʮ͓΅Ζ͛ͳ͕Β ු͔ΜͰ͖ͨΜͰ͢ɻʯ
$POpHͷྉۚ ɾه͞Εͨઃఆ߲͝ͱʹ0.003USD ɾ1000ΠϕϯτͰ3USD ɾIAM άϩʔόϧϦιʔεͳͷͰ ɹશϦʔδϣϯͷ Config ͕ه ͋Γ͕ͱ͏
͍͟͝·͢
$POpH͚ͩ͡Όͳ͍ େྔͷAPIίʔϧ Ͳ͏ͨ͠ Ͳ͏ͨ͠ Ͳ͏ͨ͠ Ͳ͏ͨ͠ ֤Ϧʔδϣϯͷ Trail ֤Ϧʔδϣϯͷ
GuardDuty
5SBJMͱ(VBSE%VUZͷྉۚ Ճͷίϐʔ ৴͞Εͨ ཧΠϕϯτ͋ͨΓ64% 6υϧ Trail 9υϧ GuardDuty ສΠϕϯτ͋ͨΓ64%
ສΠϕϯτ͋ͨΓ64%
͘͠͡Βͳ͍ͨΊʹ Ͳ͏͢Εආ͚ΒΕͨͷ͔
̏ͭ͋Γ·͢ • ɹ • ɹ • ɹ
̏ͭ͋Γ·͢ • IAMϩʔϧͰ༡ͳ͍ • ɹ • ɹ
̏ͭ͋Γ·͢ • IAMϩʔϧͰ༡ͳ͍ • ྉۚʹ͍ͭͯͷ௨Λ༗ޮԽ͢Δ • ɹ
ྫ͑ • ٻΞϥʔτ • AWS Budgets • ࡞ΓࠐΈʹΑΔఆظऔಘ https://dev.classmethod.jp/articles/
aws-budgets-alert-by-aws-chatbot/ https://dev.classmethod.jp/articles/ notify-slack-aws-billing/
ࢲͬͯ·͢ ͍ʜʜ
̏ͭ • IAMϩʔϧͰ༡ͳ͍ • ྉۚʹ͍ͭͯͷ௨Λ༗ޮԽ͢Δ • ConfigͷϕετϓϥΫςΟεʹ ͷͬͱΔ
$POpHͷϕετϓϥΫςΟε https:// aws.amazon.com/jp/ blogs/news/aws- config-best-practices/ Config ϕετϓϥΫςΟε ϒϩά |
ݕࡧ 20ݸͷϓϥΫςΟε
$POpHͷϕετϓϥΫςΟεʢൈਮʣ 1. ͯ͢ͷΞΧϯτͱϦʔδϣϯͰ AWS Config Λ༗ޮʹ͢Δ 2. ͯ͢ͷϦιʔελΠϓͷઃఆมߋΛه͢Δ 3.
1ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ 4. ઃఆཤྺͱεφοϓγϣοτϑΝΠϧΛऩू͢ΔϓϥΠϕʔτ ͳ S3 όέοτΛ༻͢Δ 5. ……
ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ ౦ژͷ Config ֤Ϧʔδϣϯͷ Configͨͪ ࢲ͚͕ͩ ه͠·͢ …… ͍ʜʜ
ҰํͰ
$POpHͷϕετϓϥΫςΟεʢൈਮʣ 1. ͯ͢ͷΞΧϯτͱϦʔδϣϯͰ AWS Config Λ༗ޮʹ͢Δ 2. ͯ͢ͷϦιʔελΠϓͷઃఆมߋΛه͢Δ 3.
1ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ 4. ઃఆཤྺͱεφοϓγϣοτϑΝΠϧΛऩू͢ΔϓϥΠϕʔτ ͳ S3 όέοτΛ༻͢Δ 5. …… ͷͬͱΔͷ͕ ϚετͰͳ͍
$POpHͷهରͷબ https://docs.aws.amazon.com/ja_jp/ config/latest/developerguide/resource- config-reference.html ݸऑͷ ϦιʔελΠϓͷத͔Β ඞཁͷΈΛબ
ຊʹه͕ඞཁʁίετΛҙࣝ͠Α͏ ྫʣAutoScaling ؔ࿈Ϧιʔε͕ͯ͢هରͱͳΔͨΊɺ සൟʹஔ͖͕͑ߦΘΕΔ߹ɺ ίετ͕ਹΉ͜ͱɻ Auto scaling Instance Elastic
network interface Volume Security group શ෦هʹ͢ඞཁ ͋Δ͔ͳʁ
৽نରԠϦιʔεهͯ͘͠ΕΔͷخ͍͚͠ΕͲ 2021/2/26 •Configͷهର͕૿͑ͨ •ʮͯ͢Λهʯͷ߹ɺ৽نͷରࣗ ಈతʹه։࢝ •͜Ε·Ͱൃੜ͍ͯ͠ͳ͔ͬͨίετ͕ٸʹ ૿͑ͨɺͱ͍͏͜ͱى͜Γ͏Δ
ه͢Δ͜ͱΛݪଇͱͭͭ͠ίετҙࣝ • هΛ͢ͷେࣄ • ίετݟ߹͍ͰऔࣺબΛ Config Trail GuardDuty Ϧιʔεͷ
ઃఆ༰Λ ه͠·͢ ΠϕϯτΛ ه͠·͢ ෆ৹ͳ ΞΫςΟϏςΟΛ ݕ͠·͢
·ͱΊ
࣋ͪؼ͍ͬͯͩ͘͞ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ
࣋ͪؼ͍ͬͯͩ͘͞ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ ʮIAMϩʔϧͰ༡ΜͰ͍͚ͳ͍ʯ