IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた

Transcript

1. *".ϩʔϧΛ
   ݸ࡞ͬͯ༡ΜͰ͍ͨΒ
   "84ར༻අ͕υϧΛ௒͍͑ͯͨ 
   ઍ༿
   ޾޺ʢνόϢΩʣ

2. ࠓ೔࣋ͪؼ͍͖͍ͬͯͨͩͨ͜ͱ  ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ ʁʁʁʁʁ

3. ࣗݾ঺հ  ɾ2020೥1݄Ϋϥεϝιου ೖࣾ ɾITΤϯδχΞྺ7೥ऑɺ ɹɹ͏ͪAWSྺ6೥ऑ ɾAWSԿ΋Θ͔ΒΜɻɻ😇 ɾ࠲ӈͷ໏ɿ ɹʮIAM ϩʔϧ͸͓໘ͷΑ͏ͳ΋ͷʯ

4. ಥવͰ͕͢  ͜Μͳ͜ͱɺΑ͋͘Γ·ͤΜ͔ʁʁ

5. ͋Γ;Εͨ೔ৗͷ෩ܠ 

6. ͋Γ;Εͨ೔ৗͷ෩ܠ  ʮ͋ʔ……ʯ

7. ͋Γ;Εͨ೔ৗͷ෩ܠ  ʮIAMϩʔϧ ɹ1000ݸ ɹɹ࡞Γ͍ͨͳ……ʯ ʮ͋ʔ……ʯ

8. ͋ʔʜʜ  *".ϩʔϧ
   ɹݸ
   ࡞Γ͍ͨͳᴸᴸᴸ

9. ͍ͱ΋ͨ΍͘͢ߦΘΕΔߟྀͷ଍Γͳ͍ߦҝ  ʮͲ͏ͤ IAM ͬͯ ɹɹແྉͩ͠ͳʯ Θͨ͠

10. ͍ͱ΋ͨ΍͘͢ߦΘΕΔߟྀͷ଍Γͳ͍ߦҝ  ʮͲ͏ͤ IAM ͬͯ ɹɹແྉͩ͠ͳʯ ˛Կ͔͕ߦΘΕ͍ͯΔ༷ࢠ Կ͔Λ͢ΔΘͨ͠

11. શ༰͸ͪ͜ΒΛͲ͏ͧ  Զୡ͸͍ͭ·Ͱ΋ཱͪਚ͘͠ ݟͭΊ͍ͯͨᴸᴸᴸ ਺ଟͷ
    *".
    ϩʔϧ͕ҠΖ͏Α͏ ʹ࿈࠯͍ͯ͘͠ɺͦͷ͞·Λɻ

12. :PV`WF
    (PU
    "
    /PUJpDBUJPO  ✉ 💨💨💨

13. :PV`WF
    (PU
    "
    /PUJpDBUJPO 

14. :PV`WF
    (PU
    "
    /PUJpDBUJPO  65.3υϧ

15. :PV`WF
    (PU
    "
    /PUJpDBUJPO  65.3υϧ 👁👁 👄 ͕ܲ౾మ๒ΛᷰΒͬͨΑ͏ͳإΛ͢ΔΘͨ͠

16. γϯΩϯάλΠϜ  ʮߟ͑Ζᴸᴸ
    
    
    ߟ͑ΔΜͩᴸᴸᴸʜʜʯ

17. ʁʁ ʁʁ ݪҼ͸$POpHͰͨ͠  👁 👁 ʮ*".ϩʔϧΛݸ࡞ͬͨΒ
    ɹ֤Ϧʔδϣϯͷ$POpHʹิ଍͞Ε·ͨ͠ʯ
    ʮෆཁͳه࿥ΛࢭΊ·ͨ͠ʯ ʁʁʁʁ

    ʁʁʁ ʁʁʁʁ

18. ݪҼ͸$POpHͰͨ͠  👁 👁 ʮ*".ϩʔϧΛݸ࡞ͬͨΒ
    ɹ֤Ϧʔδϣϯͷ$POpHʹิ଍͞Ε·ͨ͠ʯ
    ʮෆཁͳه࿥ΛࢭΊ·ͨ͠ʯ

19. $POpH  $POpH
    <ίϯϑΟά>

20. "84
    $POpHͱ͸  l"84
    $POpH
    ͸ɺ"84
    ϦιʔεͷઃఆΛධՁɺ؂ࠪɺ৹ࠪͰ͖ΔαʔϏεͰ͢ɻ $POpH
    Ͱ͸ɺ"84
    Ϧιʔεͷઃఆ͕ܧଓతʹϞχλϦϯά͓Αͼه࿥͞Εɺ
    ๬·ΕΔઃఆʹର͢Δه࿥͞ΕͨઃఆͷධՁΛࣗಈతʹ࣮ߦͰ͖·͢ɻz
    https:// aws.amazon.com/jp/ config/ https://www.slideshare.net/ AmazonWebServicesJapan/

    20190618-aws-black-belt- online-seminar-aws-config

21. 5SBJM
    ͱ
    $POpH
    ͷҧ͍  A͞Μ B͞Μ ΠϯελϯεA Πϯελϯε ৽ن࡞੒ Πϯελϯε λΠϓมߋ 

     m5.xlarge m5.large

22. 5SBJM
    ͱ
    $POpH
    ͷҧ͍  A͞Μ B͞Μ ΠϯελϯεA Πϯελϯε ৽ن࡞੒ Πϯελϯε λΠϓมߋ 

     m5.xlarge m5.large Cloud Trail AWS Config

23. ͦΕΛ౿·͑ͯ  Կ͕ى͍ͬͯͨ͜ͷ͔

24. Կ͕ى͍ͬͯͨ͜ͷ͔  ͍ͬͪΐ
    ΍ͬͯΈ͔ͬʂ

25. Կ͕ى͍ͬͯͨ͜ͷ͔  ϩʔϧΛ
    ͨ͘͞Μ
    ࡞Δͧʂ

26. Կ͕ى͍ͬͯͨ͜ͷ͔  ϙϦγʔΛ
    ͦΕͧΕ
    ͚ͭΔͧʂ

27. Կ͕ى͍ͬͯͨ͜ͷ͔  ͍ͬͨΜ
    ࡟আ͢Δͧʂ

28. Կ͕ى͍ͬͯͨ͜ͷ͔  ϩʔϧΛ
    ͨ͘͞Μ
    ࡞Δͧʂ

29. Կ͕ى͍ͬͯͨ͜ͷ͔  ϙϦγʔΛ
    ͦΕͧΕ
    ͚ͭΔͧʂ

30. Կ͕ى͍ͬͯͨ͜ͷ͔  ͍ͬͨΜ
    ࡟আ͢Δͧʂ

31. શ෦ه࿥ͯ͠·ͨ͠Α  ώΟ શ෦ه࿥
    ͯ͠·ͨ͠Α ౦ژͷ Config ʁʁʁ

32. ࢲ΋શ෦ه࿥ͯ͠·ͨ͠Α  ώΟ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ࢲ΋
    

    શ෦ه࿥
    ͯ͠·ͨ͠Α

33. ح۰ͩͳɺԶ΋ه࿥ͯͨ͠Α  ώΟ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ح۰ͩͳɺ
    

    Զ΋ه࿥ͯͨ͠Α ϜϯόΠͷ Config ʁʁʁ

34. ʮʮʮ͓͍͓͍ɺԶͨͪΛ๨ΕΔͳΑʜʁʯʯʯ  ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ح۰ͩͳɺ
    Զ΋ه࿥ͯͨ͠Α

    ϜϯόΠͷ Config ʁʁʁ ֤Ϧʔδϣϯͷ Configͨͪ ʁʁʁ ώϡο ح۰ͩͳɺ
    Զ΋ه࿥ͯͨ͠Α ح۰ͩͳɺ
    Զ΋ه࿥ͯͨ͠Α ح۰ͩͳɺ
    Զ΋ه࿥ͯͨ͠Α ح۰ͩͳɺ
    Զ΋ه࿥ͯͨ͠Α ح۰ͩͳɺ
    Զ΋ه࿥ͯͨ͠Α ح۰ͩͳɺ
    Զ΋ه࿥ͯͨ͠Α ح۰ͩͳɺ
    Զ΋ه࿥ͯͨ͠Α ح۰ͩͳɺ
    Զ΋ه࿥ͯͨ͠Α ͓͍͓͍ɺ
    ԶͨͪΛ
    ๨ΕΔͳΑʜʁ ͓͍͓͍ɺ
    ԶͨͪΛ
    ๨ΕΔͳΑʜʁ

35. ֤Ϧʔδϣϯʢݸʣͷ$POpH  ౦ژͷ Config όʔδχΞͷ Config ϜϯόΠͷ Config ֤Ϧʔδϣϯͷ Configͨͪ

    ͋Γ͕ͱ͏
    ͍͟͝·͢

36. νϦ΋ੵ΋Ε͹υϧ௒͑Δ  46υϧ 5υϧ 2021೥3݄શମ 2021೥4݄த० ʮ͓΅Ζ͛ͳ͕Β ු͔ΜͰ͖ͨΜͰ͢ɻʯ

37. $POpHͷྉۚ  ɾه࿥͞Εͨઃఆ߲໨͝ͱʹ0.003USD ɾ1000ΠϕϯτͰ3USD ɾIAM ͸άϩʔόϧϦιʔεͳͷͰ ɹશϦʔδϣϯͷ Config ͕ه࿥ ͋Γ͕ͱ͏
    

    ͍͟͝·͢

38. $POpH
    ͚ͩ͡Όͳ͍  େྔͷAPIίʔϧ Ͳ͏ͨ͠
    Ͳ͏ͨ͠ Ͳ͏ͨ͠
    Ͳ͏ͨ͠ ֤Ϧʔδϣϯͷ Trail ֤Ϧʔδϣϯͷ

    GuardDuty

39. 5SBJM
    ͱ
    (VBSE%VUZ
    ͷྉۚ  ௥Ճͷίϐʔ
    
    ഑৴͞Εͨ
     
    ؅ཧΠϕϯτ͋ͨΓ
    64% 6υϧ Trail 9υϧ GuardDuty 
    ສΠϕϯτ͋ͨΓ
    64%

    ສΠϕϯτ͋ͨΓ
    64%

40. ͘͠͡Βͳ͍ͨΊʹ  Ͳ͏͢Ε͹ආ͚ΒΕͨͷ͔

41. ̏ͭ͋Γ·͢  • ɹ • ɹ • ɹ

42. ̏ͭ͋Γ·͢  • IAMϩʔϧͰ༡͹ͳ͍ • ɹ • ɹ

43. ̏ͭ͋Γ·͢  • IAMϩʔϧͰ༡͹ͳ͍ • ྉۚʹ͍ͭͯͷ௨஌Λ༗ޮԽ͢Δ • ɹ

44. ྫ͑͹  • ੥ٻΞϥʔτ • AWS Budgets • ࡞ΓࠐΈʹΑΔఆظऔಘ https://dev.classmethod.jp/articles/

    aws-budgets-alert-by-aws-chatbot/ https://dev.classmethod.jp/articles/ notify-slack-aws-billing/

45. ࢲ΋΍ͬͯ·͢  ͸͍ʜʜ

46. ̏ͭ໨  • IAMϩʔϧͰ༡͹ͳ͍ • ྉۚʹ͍ͭͯͷ௨஌Λ༗ޮԽ͢Δ • ConfigͷϕετϓϥΫςΟεʹ ͷͬͱΔ

47. $POpHͷϕετϓϥΫςΟε  https:// aws.amazon.com/jp/ blogs/news/aws- config-best-practices/ Config ϕετϓϥΫςΟε ϒϩά |

    ݕࡧ 20ݸͷϓϥΫςΟε

48. $POpHͷϕετϓϥΫςΟεʢൈਮʣ  1. ͢΂ͯͷΞΧ΢ϯτͱϦʔδϣϯͰ AWS Config Λ༗ޮʹ͢Δ 2. ͢΂ͯͷϦιʔελΠϓͷઃఆมߋΛه࿥͢Δ 3.

    1ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه࿥͢Δ 4. ઃఆཤྺͱεφοϓγϣοτϑΝΠϧΛऩू͢ΔϓϥΠϕʔτ ͳ S3 όέοτΛ࢖༻͢Δ 5. ……

49. ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه࿥͢Δ  ౦ژͷ Config ֤Ϧʔδϣϯͷ Configͨͪ ࢲ͚͕ͩ
    ه࿥͠·͢ …… ͸͍ʜʜ

50.  ҰํͰ

51. $POpHͷϕετϓϥΫςΟεʢൈਮʣ  1. ͢΂ͯͷΞΧ΢ϯτͱϦʔδϣϯͰ AWS Config Λ༗ޮʹ͢Δ 2. ͢΂ͯͷϦιʔελΠϓͷઃఆมߋΛه࿥͢Δ 3.

    1ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه࿥͢Δ 4. ઃఆཤྺͱεφοϓγϣοτϑΝΠϧΛऩू͢ΔϓϥΠϕʔτ ͳ S3 όέοτΛ࢖༻͢Δ 5. …… ͷͬͱΔͷ͕
    ϚετͰ͸ͳ͍

52. $POpH
    ͷه࿥ର৅ͷબ୒  https://docs.aws.amazon.com/ja_jp/ config/latest/developerguide/resource- config-reference.html ݸऑͷ
    ϦιʔελΠϓͷத͔Β
    ඞཁ෼ͷΈΛબ୒

53. ຊ౰ʹه࿥͕ඞཁʁίετΛҙࣝ͠Α͏  ྫʣAutoScaling ؔ࿈Ϧιʔε͕͢΂ͯه࿥ର৅ͱͳΔͨΊɺ සൟʹஔ͖׵͕͑ߦΘΕΔ৔߹ɺ ίετ͕ਹΉ͜ͱ΋ɻ Auto scaling Instance Elastic

    network interface Volume Security group શ෦ه࿥ʹ࢒͢ඞཁ ͋Δ͔ͳʁ

54. ৽نରԠϦιʔε΋ه࿥ͯ͘͠ΕΔͷ͸خ͍͚͠ΕͲ  2021/2/26 •Configͷه࿥ର৅͕૿͑ͨ •ʮ͢΂ͯΛه࿥ʯͷ৔߹ɺ৽نͷର৅΋ࣗ ಈతʹه࿥։࢝ •͜Ε·Ͱൃੜ͍ͯ͠ͳ͔ͬͨίετ͕ٸʹ ૿͑ͨɺͱ͍͏͜ͱ΋ى͜Γ͏Δ

55. ه࿥͢Δ͜ͱΛݪଇͱͭͭ͠ίετ΋ҙࣝ  • ه࿥Λ࢒͢ͷ͸େࣄ • ίετݟ߹͍Ͱऔࣺબ୒Λ Config Trail GuardDuty Ϧιʔεͷ
    

    ઃఆ಺༰Λ
    ه࿥͠·͢ ΠϕϯτΛ
    ه࿥͠·͢ ෆ৹ͳ
    ΞΫςΟϏςΟΛ
    ݕ஌͠·͢

56.  ·ͱΊ

57. ࣋ͪؼ͍ͬͯͩ͘͞  ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ

58. ࣋ͪؼ͍ͬͯͩ͘͞  ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ ʮIAMϩʔϧͰ༡ΜͰ͸͍͚ͳ͍ʯ