500万円のサービスを 申し込んでしまった 2022/10/20 クラウドLT大会 坪井 千春 1

自己紹介 名前： 坪井 千春 所属： 株式会社セゾン情報システムズ 経歴： ・SIerとしてJAVAメインのアプリ担当を19年 ・直近4年はAWSを利用 ・今年4月からアプリを離れてAWSエンジニアとして活動

背景：AWS教育環境 • AWSの社内教育を目的として自由に利用できるAWSアカウントを 用意 • 一部のメンバーに管理権限を付与 • 利用ルール • IGWやNATなどの作成禁止（社内プロキシを経由させる） • VPCピアリングの禁止 • 不要なリソースは削除、利用する期間のみ起動 3

事件発生 • ある日突然、高額のAWS利用料金が発生 3000ドルのサブスクリプション！？ 4

AWS Shieldってなに？ • マネージド型のDDoS攻撃保護サービス • WEBサービスへ大量リクエストしサーバーダウンさせるような攻撃 に対する防御ができる • Standard料金：無料 • Advanced料金：1ヶ月3,000 USD、1年間のサブスクリプション契約 3,000＄×12ヵ月×為替148円 ＝ 約500万円！？ 5

AWS Shieldってなに？ • 申し込み方法：マネジメントコンソールで数クリック →簡単に申し込める！ 6

対応 • CloudTrailで調査し、ユーザーの操作を確認 結果、料金を確認せずに契約してしまったことが判明 • とりあえずキャンセルしようするもマネジメントコンソールか らキャンセル不可 7

対策 その後の対策として下記を実施 1. 事前教育 2. 適切な権限設定 3. Slack通知 4. 請求アラート 8

対策１：事前教育 • IAMユーザーの発行前にAWSの基本教育を実施 • 下記の３つのe-learningに合格すること 9

対策２：適切な権限設定 • 管理権限は原則提供しない • 一時的に提供する場合もポリシーで下記のActionを拒否 shield:CreateSubscription • 設定可能であればOrganizationsのSCP設定で拒否する 10

対策３：slack通知 • 毎日slackでAWS利用料を通知 • いつでも気軽に利用状況が分かる 11

対策４：請求アラート • 請求アラート • CloudWatchメトリクス • 一定額を超えた場合にメールで関係者に通知 • 10日、20日時点で〇ドルを超えた場合に発報 • 最近では他にも機能あり • AWS Budgetsのアラート機能 • AWS コスト異常検出（AWS Cost Anomaly Detection） 12

まとめ • AWSには簡単に契約できてしまう高額なサービスが存在する • あらかじめ対策しておく • 適切にユーザーの権限を設定 • AWS利用前の教育ルールを策定 • 請求アラートなどの検知機能を設定 13