Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた
Search
YukihiroChiba
April 27, 2021
Technology
1
23k
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた話です。遊ぶな。
YukihiroChiba
April 27, 2021
Tweet
Share
More Decks by YukihiroChiba
See All by YukihiroChiba
わたしの業務の中に住み着いたCacoo/Cacoo has taken up residence in my work routine
yukihirochiba
0
1.1k
Amazon VPCでの IPv6利用に向けた はじめの一歩/first-step-towards-using-ipv6-in-amazon-vpc
yukihirochiba
0
770
AWS IAM の結果整合性を避けるためセッションポリシーを用いてポリシーの動作確認を行う、を解説する
yukihirochiba
0
980
SSMエージェントはIAMロールの夢を見るか/ Do SSM Agents Dream Of IAM Roles?
yukihirochiba
0
2.7k
AWS IAM の知っておくべき話と知らなくてもいい話 DevIO2023/ AWS IAM DevIO 2023
yukihirochiba
0
3.5k
デジタルアイデンティティWGミニウェビナー第4回「IaaSとアイデンティティ」/ jnsa-iaas-identity
yukihirochiba
0
740
学習エンジンがうなりを上げているチームの作り方 / How to build a team with a learning engine humming along
yukihirochiba
0
4.1k
Amazon Route 53 Application Recovery Controller zonal shift 試してみた
yukihirochiba
0
2.1k
re:Growth 2022 Amazon Verified Permissions/妄想を膨らませる_チバユキ
yukihirochiba
0
5.5k
Other Decks in Technology
See All in Technology
LLMエージェント時代に適応した開発フロー
hiragram
1
420
Oracle Base Database Service:サービス概要のご紹介
oracle4engineer
PRO
2
20k
Yahoo!ニュースにおけるソフトウェア開発
lycorptech_jp
PRO
0
380
実践AIガバナンス
asei
2
100
Goss: New Production-Ready Go Binding for Faiss #coefl_go_jp
bengo4com
0
1.1k
Goでマークダウンの独自記法を実装する
lag129
0
220
AIとTDDによるNext.js「隙間ツール」開発の実践
makotot
6
710
実践アプリケーション設計 ②トランザクションスクリプトへの対応
recruitengineers
PRO
4
410
Backboneとしてのtimm2025
yu4u
4
1.6k
夢の印税生活 / Life on Royalties
tmtms
0
290
制約理論(ToC)入門
recruitengineers
PRO
5
520
イオン店舗一覧ページのパフォーマンスチューニング事例 / Performance tuning example for AEON store list page
aeonpeople
2
310
Featured
See All Featured
Art, The Web, and Tiny UX
lynnandtonic
302
21k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
30
9.6k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.8k
The Cult of Friendly URLs
andyhume
79
6.5k
A Tale of Four Properties
chriscoyier
160
23k
Code Review Best Practice
trishagee
70
19k
jQuery: Nuts, Bolts and Bling
dougneiner
64
7.9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.5k
Gamification - CAS2011
davidbonilla
81
5.4k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
139
34k
Transcript
*".ϩʔϧΛ ݸ࡞ͬͯ༡ΜͰ͍ͨΒ "84ར༻අ͕υϧΛ͍͑ͯͨ ઍ༿ʢνόϢΩʣ
ࠓ࣋ͪؼ͍͖͍ͬͯͨͩͨ͜ͱ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ ʁʁʁʁʁ
ࣗݾհ ɾ20201݄Ϋϥεϝιου ೖࣾ ɾITΤϯδχΞྺ7ऑɺ ɹɹ͏ͪAWSྺ6ऑ ɾAWSԿΘ͔ΒΜɻɻ😇 ɾ࠲ӈͷɿ ɹʮIAM ϩʔϧ͓໘ͷΑ͏ͳͷʯ
ಥવͰ͕͢ ͜Μͳ͜ͱɺΑ͋͘Γ·ͤΜ͔ʁʁ
͋Γ;Εͨৗͷ෩ܠ
͋Γ;Εͨৗͷ෩ܠ ʮ͋ʔ……ʯ
͋Γ;Εͨৗͷ෩ܠ ʮIAMϩʔϧ ɹ1000ݸ ɹɹ࡞Γ͍ͨͳ……ʯ ʮ͋ʔ……ʯ
͋ʔʜʜ *".ϩʔϧ ɹݸ ࡞Γ͍ͨͳᴸᴸᴸ
͍ͱͨ͘͢ߦΘΕΔߟྀͷΓͳ͍ߦҝ ʮͲ͏ͤ IAM ͬͯ ɹɹແྉͩ͠ͳʯ Θͨ͠
͍ͱͨ͘͢ߦΘΕΔߟྀͷΓͳ͍ߦҝ ʮͲ͏ͤ IAM ͬͯ ɹɹແྉͩ͠ͳʯ ˛Կ͔͕ߦΘΕ͍ͯΔ༷ࢠ Կ͔Λ͢ΔΘͨ͠
શ༰ͪ͜ΒΛͲ͏ͧ Զୡ͍ͭ·Ͱཱͪਚ͘͠ ݟͭΊ͍ͯͨᴸᴸᴸ ଟͷ*".ϩʔϧ͕ҠΖ͏Α͏ ʹ࿈͍ͯ͘͠ɺͦͷ͞·Λɻ
:PV`WF(PU"/PUJpDBUJPO ✉ 💨💨💨
:PV`WF(PU"/PUJpDBUJPO
:PV`WF(PU"/PUJpDBUJPO 65.3υϧ
:PV`WF(PU"/PUJpDBUJPO 65.3υϧ 👁👁 👄 ͕ܲ౾మ๒ΛᷰΒͬͨΑ͏ͳإΛ͢ΔΘͨ͠
γϯΩϯάλΠϜ ʮߟ͑Ζᴸᴸߟ͑ΔΜͩᴸᴸᴸʜʜʯ
ʁʁ ʁʁ ݪҼ$POpHͰͨ͠ 👁 👁 ʮ*".ϩʔϧΛݸ࡞ͬͨΒ ɹ֤Ϧʔδϣϯͷ$POpHʹิ͞Ε·ͨ͠ʯ ʮෆཁͳهΛࢭΊ·ͨ͠ʯ ʁʁʁʁ
ʁʁʁ ʁʁʁʁ
ݪҼ$POpHͰͨ͠ 👁 👁 ʮ*".ϩʔϧΛݸ࡞ͬͨΒ ɹ֤Ϧʔδϣϯͷ$POpHʹิ͞Ε·ͨ͠ʯ ʮෆཁͳهΛࢭΊ·ͨ͠ʯ
$POpH $POpH <ίϯϑΟά>
"84$POpHͱ l"84$POpHɺ"84ϦιʔεͷઃఆΛධՁɺࠪɺ৹ࠪͰ͖ΔαʔϏεͰ͢ɻ $POpHͰɺ"84Ϧιʔεͷઃఆ͕ܧଓతʹϞχλϦϯά͓Αͼه͞Εɺ ·ΕΔઃఆʹର͢Δه͞ΕͨઃఆͷධՁΛࣗಈతʹ࣮ߦͰ͖·͢ɻz https:// aws.amazon.com/jp/ config/ https://www.slideshare.net/ AmazonWebServicesJapan/
20190618-aws-black-belt- online-seminar-aws-config
5SBJMͱ$POpHͷҧ͍ A͞Μ B͞Μ ΠϯελϯεA Πϯελϯε ৽ن࡞ Πϯελϯε λΠϓมߋ
m5.xlarge m5.large
5SBJMͱ$POpHͷҧ͍ A͞Μ B͞Μ ΠϯελϯεA Πϯελϯε ৽ن࡞ Πϯελϯε λΠϓมߋ
m5.xlarge m5.large Cloud Trail AWS Config
ͦΕΛ౿·͑ͯ Կ͕ى͍ͬͯͨ͜ͷ͔
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͪΐ ͬͯΈ͔ͬʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϩʔϧΛ ͨ͘͞Μ ࡞Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϙϦγʔΛ ͦΕͧΕ ͚ͭΔͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͨΜ আ͢Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϩʔϧΛ ͨ͘͞Μ ࡞Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϙϦγʔΛ ͦΕͧΕ ͚ͭΔͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͨΜ আ͢Δͧʂ
શ෦هͯ͠·ͨ͠Α ώΟ શ෦ه ͯ͠·ͨ͠Α ౦ژͷ Config ʁʁʁ
ࢲશ෦هͯ͠·ͨ͠Α ώΟ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ࢲ
શ෦ه ͯ͠·ͨ͠Α
ح۰ͩͳɺԶهͯͨ͠Α ώΟ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ح۰ͩͳɺ
Զهͯͨ͠Α ϜϯόΠͷ Config ʁʁʁ
ʮʮʮ͓͍͓͍ɺԶͨͪΛΕΔͳΑʜʁʯʯʯ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ح۰ͩͳɺ Զهͯͨ͠Α
ϜϯόΠͷ Config ʁʁʁ ֤Ϧʔδϣϯͷ Configͨͪ ʁʁʁ ώϡο ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ͓͍͓͍ɺ ԶͨͪΛ ΕΔͳΑʜʁ ͓͍͓͍ɺ ԶͨͪΛ ΕΔͳΑʜʁ
֤Ϧʔδϣϯʢݸʣͷ$POpH ౦ژͷ Config όʔδχΞͷ Config ϜϯόΠͷ Config ֤Ϧʔδϣϯͷ Configͨͪ
͋Γ͕ͱ͏ ͍͟͝·͢
νϦੵΕυϧ͑Δ 46υϧ 5υϧ 20213݄શମ 20214݄த० ʮ͓΅Ζ͛ͳ͕Β ු͔ΜͰ͖ͨΜͰ͢ɻʯ
$POpHͷྉۚ ɾه͞Εͨઃఆ߲͝ͱʹ0.003USD ɾ1000ΠϕϯτͰ3USD ɾIAM άϩʔόϧϦιʔεͳͷͰ ɹશϦʔδϣϯͷ Config ͕ه ͋Γ͕ͱ͏
͍͟͝·͢
$POpH͚ͩ͡Όͳ͍ େྔͷAPIίʔϧ Ͳ͏ͨ͠ Ͳ͏ͨ͠ Ͳ͏ͨ͠ Ͳ͏ͨ͠ ֤Ϧʔδϣϯͷ Trail ֤Ϧʔδϣϯͷ
GuardDuty
5SBJMͱ(VBSE%VUZͷྉۚ Ճͷίϐʔ ৴͞Εͨ ཧΠϕϯτ͋ͨΓ64% 6υϧ Trail 9υϧ GuardDuty ສΠϕϯτ͋ͨΓ64%
ສΠϕϯτ͋ͨΓ64%
͘͠͡Βͳ͍ͨΊʹ Ͳ͏͢Εආ͚ΒΕͨͷ͔
̏ͭ͋Γ·͢ • ɹ • ɹ • ɹ
̏ͭ͋Γ·͢ • IAMϩʔϧͰ༡ͳ͍ • ɹ • ɹ
̏ͭ͋Γ·͢ • IAMϩʔϧͰ༡ͳ͍ • ྉۚʹ͍ͭͯͷ௨Λ༗ޮԽ͢Δ • ɹ
ྫ͑ • ٻΞϥʔτ • AWS Budgets • ࡞ΓࠐΈʹΑΔఆظऔಘ https://dev.classmethod.jp/articles/
aws-budgets-alert-by-aws-chatbot/ https://dev.classmethod.jp/articles/ notify-slack-aws-billing/
ࢲͬͯ·͢ ͍ʜʜ
̏ͭ • IAMϩʔϧͰ༡ͳ͍ • ྉۚʹ͍ͭͯͷ௨Λ༗ޮԽ͢Δ • ConfigͷϕετϓϥΫςΟεʹ ͷͬͱΔ
$POpHͷϕετϓϥΫςΟε https:// aws.amazon.com/jp/ blogs/news/aws- config-best-practices/ Config ϕετϓϥΫςΟε ϒϩά |
ݕࡧ 20ݸͷϓϥΫςΟε
$POpHͷϕετϓϥΫςΟεʢൈਮʣ 1. ͯ͢ͷΞΧϯτͱϦʔδϣϯͰ AWS Config Λ༗ޮʹ͢Δ 2. ͯ͢ͷϦιʔελΠϓͷઃఆมߋΛه͢Δ 3.
1ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ 4. ઃఆཤྺͱεφοϓγϣοτϑΝΠϧΛऩू͢ΔϓϥΠϕʔτ ͳ S3 όέοτΛ༻͢Δ 5. ……
ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ ౦ژͷ Config ֤Ϧʔδϣϯͷ Configͨͪ ࢲ͚͕ͩ ه͠·͢ …… ͍ʜʜ
ҰํͰ
$POpHͷϕετϓϥΫςΟεʢൈਮʣ 1. ͯ͢ͷΞΧϯτͱϦʔδϣϯͰ AWS Config Λ༗ޮʹ͢Δ 2. ͯ͢ͷϦιʔελΠϓͷઃఆมߋΛه͢Δ 3.
1ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ 4. ઃఆཤྺͱεφοϓγϣοτϑΝΠϧΛऩू͢ΔϓϥΠϕʔτ ͳ S3 όέοτΛ༻͢Δ 5. …… ͷͬͱΔͷ͕ ϚετͰͳ͍
$POpHͷهରͷબ https://docs.aws.amazon.com/ja_jp/ config/latest/developerguide/resource- config-reference.html ݸऑͷ ϦιʔελΠϓͷத͔Β ඞཁͷΈΛબ
ຊʹه͕ඞཁʁίετΛҙࣝ͠Α͏ ྫʣAutoScaling ؔ࿈Ϧιʔε͕ͯ͢هରͱͳΔͨΊɺ සൟʹஔ͖͕͑ߦΘΕΔ߹ɺ ίετ͕ਹΉ͜ͱɻ Auto scaling Instance Elastic
network interface Volume Security group શ෦هʹ͢ඞཁ ͋Δ͔ͳʁ
৽نରԠϦιʔεهͯ͘͠ΕΔͷخ͍͚͠ΕͲ 2021/2/26 •Configͷهର͕૿͑ͨ •ʮͯ͢Λهʯͷ߹ɺ৽نͷରࣗ ಈతʹه։࢝ •͜Ε·Ͱൃੜ͍ͯ͠ͳ͔ͬͨίετ͕ٸʹ ૿͑ͨɺͱ͍͏͜ͱى͜Γ͏Δ
ه͢Δ͜ͱΛݪଇͱͭͭ͠ίετҙࣝ • هΛ͢ͷେࣄ • ίετݟ߹͍ͰऔࣺબΛ Config Trail GuardDuty Ϧιʔεͷ
ઃఆ༰Λ ه͠·͢ ΠϕϯτΛ ه͠·͢ ෆ৹ͳ ΞΫςΟϏςΟΛ ݕ͠·͢
·ͱΊ
࣋ͪؼ͍ͬͯͩ͘͞ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ
࣋ͪؼ͍ͬͯͩ͘͞ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ ʮIAMϩʔϧͰ༡ΜͰ͍͚ͳ͍ʯ