Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
500万円のサービスを 申し込んでしまった 2022/10/20 クラウドLT大会 坪井 千春 1
Slide 2
Slide 2 text
自己紹介 名前: 坪井 千春 所属: 株式会社セゾン情報システムズ 経歴: ・SIerとしてJAVAメインのアプリ担当を19年 ・直近4年はAWSを利用 ・今年4月からアプリを離れてAWSエンジニアとして活動
Slide 3
Slide 3 text
背景:AWS教育環境 • AWSの社内教育を目的として自由に利用できるAWSアカウントを 用意 • 一部のメンバーに管理権限を付与 • 利用ルール • IGWやNATなどの作成禁止(社内プロキシを経由させる) • VPCピアリングの禁止 • 不要なリソースは削除、利用する期間のみ起動 3
Slide 4
Slide 4 text
事件発生 • ある日突然、高額のAWS利用料金が発生 3000ドルのサブスクリプション!? 4
Slide 5
Slide 5 text
AWS Shieldってなに? • マネージド型のDDoS攻撃保護サービス • WEBサービスへ大量リクエストしサーバーダウンさせるような攻撃 に対する防御ができる • Standard料金:無料 • Advanced料金:1ヶ月3,000 USD、1年間のサブスクリプション契約 3,000$×12ヵ月×為替148円 = 約500万円!? 5
Slide 6
Slide 6 text
AWS Shieldってなに? • 申し込み方法:マネジメントコンソールで数クリック →簡単に申し込める! 6
Slide 7
Slide 7 text
対応 • CloudTrailで調査し、ユーザーの操作を確認 結果、料金を確認せずに契約してしまったことが判明 • とりあえずキャンセルしようするもマネジメントコンソールか らキャンセル不可 7
Slide 8
Slide 8 text
対策 その後の対策として下記を実施 1. 事前教育 2. 適切な権限設定 3. Slack通知 4. 請求アラート 8
Slide 9
Slide 9 text
対策1:事前教育 • IAMユーザーの発行前にAWSの基本教育を実施 • 下記の3つのe-learningに合格すること 9
Slide 10
Slide 10 text
対策2:適切な権限設定 • 管理権限は原則提供しない • 一時的に提供する場合もポリシーで下記のActionを拒否 shield:CreateSubscription • 設定可能であればOrganizationsのSCP設定で拒否する 10
Slide 11
Slide 11 text
対策3:slack通知 • 毎日slackでAWS利用料を通知 • いつでも気軽に利用状況が分かる 11
Slide 12
Slide 12 text
対策4:請求アラート • 請求アラート • CloudWatchメトリクス • 一定額を超えた場合にメールで関係者に通知 • 10日、20日時点で〇ドルを超えた場合に発報 • 最近では他にも機能あり • AWS Budgetsのアラート機能 • AWS コスト異常検出(AWS Cost Anomaly Detection) 12
Slide 13
Slide 13 text
まとめ • AWSには簡単に契約できてしまう高額なサービスが存在する • あらかじめ対策しておく • 適切にユーザーの権限を設定 • AWS利用前の教育ルールを策定 • 請求アラートなどの検知機能を設定 13