Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた
Search
YukihiroChiba
April 27, 2021
Technology
1
23k
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた
IAMロールを1000個作って遊んでいたらAWS利用費が50ドルを超えていた話です。遊ぶな。
YukihiroChiba
April 27, 2021
Tweet
Share
More Decks by YukihiroChiba
See All by YukihiroChiba
わたしの業務の中に住み着いたCacoo/Cacoo has taken up residence in my work routine
yukihirochiba
0
1k
Amazon VPCでの IPv6利用に向けた はじめの一歩/first-step-towards-using-ipv6-in-amazon-vpc
yukihirochiba
0
690
AWS IAM の結果整合性を避けるためセッションポリシーを用いてポリシーの動作確認を行う、を解説する
yukihirochiba
0
950
SSMエージェントはIAMロールの夢を見るか/ Do SSM Agents Dream Of IAM Roles?
yukihirochiba
0
2.6k
AWS IAM の知っておくべき話と知らなくてもいい話 DevIO2023/ AWS IAM DevIO 2023
yukihirochiba
0
3.5k
デジタルアイデンティティWGミニウェビナー第4回「IaaSとアイデンティティ」/ jnsa-iaas-identity
yukihirochiba
0
730
学習エンジンがうなりを上げているチームの作り方 / How to build a team with a learning engine humming along
yukihirochiba
0
4.1k
Amazon Route 53 Application Recovery Controller zonal shift 試してみた
yukihirochiba
0
2k
re:Growth 2022 Amazon Verified Permissions/妄想を膨らませる_チバユキ
yukihirochiba
0
5.5k
Other Decks in Technology
See All in Technology
ネットワーク保護はどう変わるのか?re:Inforce 2025最新アップデート解説
tokushun
0
110
mrubyと micro-ROSが繋ぐロボットの世界
kishima
2
360
「良さそう」と「とても良い」の間には 「良さそうだがホンマか」がたくさんある / 2025.07.01 LLM品質Night
smiyawaki0820
1
410
生成AI活用の組織格差を解消する 〜ビジネス職のCursor導入が開発効率に与えた好循環〜 / Closing the Organizational Gap in AI Adoption
upamune
5
4.3k
AWS テクニカルサポートとエンドカスタマーの中間地点から見えるより良いサポートの活用方法
kazzpapa3
2
570
CursorによるPMO業務の代替 / Automating PMO Tasks with Cursor
motoyoshi_kakaku
1
520
ひとり情シスなCTOがLLMと始めるオペレーション最適化 / CTO's LLM-Powered Ops
yamitzky
0
450
rubygem開発で鍛える設計力
joker1007
2
220
Node-RED × MCP 勉強会 vol.1
1ftseabass
PRO
0
170
AWS Summit Japan 2025 Community Stage - App workflow automation by AWS Step Functions
matsuihidetoshi
1
300
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
3
920
変化する開発、進化する体系時代に適応するソフトウェアエンジニアの知識と考え方(JaSST'25 Kansai)
mizunori
1
240
Featured
See All Featured
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
17
950
VelocityConf: Rendering Performance Case Studies
addyosmani
331
24k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
657
60k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
30
2.1k
A Modern Web Designer's Workflow
chriscoyier
694
190k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.3k
Testing 201, or: Great Expectations
jmmastey
42
7.5k
Docker and Python
trallard
44
3.4k
It's Worth the Effort
3n
185
28k
Stop Working from a Prison Cell
hatefulcrawdad
270
20k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
130
19k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.3k
Transcript
*".ϩʔϧΛ ݸ࡞ͬͯ༡ΜͰ͍ͨΒ "84ར༻අ͕υϧΛ͍͑ͯͨ ઍ༿ʢνόϢΩʣ
ࠓ࣋ͪؼ͍͖͍ͬͯͨͩͨ͜ͱ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ ʁʁʁʁʁ
ࣗݾհ ɾ20201݄Ϋϥεϝιου ೖࣾ ɾITΤϯδχΞྺ7ऑɺ ɹɹ͏ͪAWSྺ6ऑ ɾAWSԿΘ͔ΒΜɻɻ😇 ɾ࠲ӈͷɿ ɹʮIAM ϩʔϧ͓໘ͷΑ͏ͳͷʯ
ಥવͰ͕͢ ͜Μͳ͜ͱɺΑ͋͘Γ·ͤΜ͔ʁʁ
͋Γ;Εͨৗͷ෩ܠ
͋Γ;Εͨৗͷ෩ܠ ʮ͋ʔ……ʯ
͋Γ;Εͨৗͷ෩ܠ ʮIAMϩʔϧ ɹ1000ݸ ɹɹ࡞Γ͍ͨͳ……ʯ ʮ͋ʔ……ʯ
͋ʔʜʜ *".ϩʔϧ ɹݸ ࡞Γ͍ͨͳᴸᴸᴸ
͍ͱͨ͘͢ߦΘΕΔߟྀͷΓͳ͍ߦҝ ʮͲ͏ͤ IAM ͬͯ ɹɹແྉͩ͠ͳʯ Θͨ͠
͍ͱͨ͘͢ߦΘΕΔߟྀͷΓͳ͍ߦҝ ʮͲ͏ͤ IAM ͬͯ ɹɹແྉͩ͠ͳʯ ˛Կ͔͕ߦΘΕ͍ͯΔ༷ࢠ Կ͔Λ͢ΔΘͨ͠
શ༰ͪ͜ΒΛͲ͏ͧ Զୡ͍ͭ·Ͱཱͪਚ͘͠ ݟͭΊ͍ͯͨᴸᴸᴸ ଟͷ*".ϩʔϧ͕ҠΖ͏Α͏ ʹ࿈͍ͯ͘͠ɺͦͷ͞·Λɻ
:PV`WF(PU"/PUJpDBUJPO ✉ 💨💨💨
:PV`WF(PU"/PUJpDBUJPO
:PV`WF(PU"/PUJpDBUJPO 65.3υϧ
:PV`WF(PU"/PUJpDBUJPO 65.3υϧ 👁👁 👄 ͕ܲ౾మ๒ΛᷰΒͬͨΑ͏ͳإΛ͢ΔΘͨ͠
γϯΩϯάλΠϜ ʮߟ͑Ζᴸᴸߟ͑ΔΜͩᴸᴸᴸʜʜʯ
ʁʁ ʁʁ ݪҼ$POpHͰͨ͠ 👁 👁 ʮ*".ϩʔϧΛݸ࡞ͬͨΒ ɹ֤Ϧʔδϣϯͷ$POpHʹิ͞Ε·ͨ͠ʯ ʮෆཁͳهΛࢭΊ·ͨ͠ʯ ʁʁʁʁ
ʁʁʁ ʁʁʁʁ
ݪҼ$POpHͰͨ͠ 👁 👁 ʮ*".ϩʔϧΛݸ࡞ͬͨΒ ɹ֤Ϧʔδϣϯͷ$POpHʹิ͞Ε·ͨ͠ʯ ʮෆཁͳهΛࢭΊ·ͨ͠ʯ
$POpH $POpH <ίϯϑΟά>
"84$POpHͱ l"84$POpHɺ"84ϦιʔεͷઃఆΛධՁɺࠪɺ৹ࠪͰ͖ΔαʔϏεͰ͢ɻ $POpHͰɺ"84Ϧιʔεͷઃఆ͕ܧଓతʹϞχλϦϯά͓Αͼه͞Εɺ ·ΕΔઃఆʹର͢Δه͞ΕͨઃఆͷධՁΛࣗಈతʹ࣮ߦͰ͖·͢ɻz https:// aws.amazon.com/jp/ config/ https://www.slideshare.net/ AmazonWebServicesJapan/
20190618-aws-black-belt- online-seminar-aws-config
5SBJMͱ$POpHͷҧ͍ A͞Μ B͞Μ ΠϯελϯεA Πϯελϯε ৽ن࡞ Πϯελϯε λΠϓมߋ
m5.xlarge m5.large
5SBJMͱ$POpHͷҧ͍ A͞Μ B͞Μ ΠϯελϯεA Πϯελϯε ৽ن࡞ Πϯελϯε λΠϓมߋ
m5.xlarge m5.large Cloud Trail AWS Config
ͦΕΛ౿·͑ͯ Կ͕ى͍ͬͯͨ͜ͷ͔
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͪΐ ͬͯΈ͔ͬʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϩʔϧΛ ͨ͘͞Μ ࡞Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϙϦγʔΛ ͦΕͧΕ ͚ͭΔͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͨΜ আ͢Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϩʔϧΛ ͨ͘͞Μ ࡞Δͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ϙϦγʔΛ ͦΕͧΕ ͚ͭΔͧʂ
Կ͕ى͍ͬͯͨ͜ͷ͔ ͍ͬͨΜ আ͢Δͧʂ
શ෦هͯ͠·ͨ͠Α ώΟ શ෦ه ͯ͠·ͨ͠Α ౦ژͷ Config ʁʁʁ
ࢲશ෦هͯ͠·ͨ͠Α ώΟ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ࢲ
શ෦ه ͯ͠·ͨ͠Α
ح۰ͩͳɺԶهͯͨ͠Α ώΟ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ح۰ͩͳɺ
Զهͯͨ͠Α ϜϯόΠͷ Config ʁʁʁ
ʮʮʮ͓͍͓͍ɺԶͨͪΛΕΔͳΑʜʁʯʯʯ ౦ژͷ Config ʁʁʁ όʔδχΞͷ Config ʁʁʁ ح۰ͩͳɺ Զهͯͨ͠Α
ϜϯόΠͷ Config ʁʁʁ ֤Ϧʔδϣϯͷ Configͨͪ ʁʁʁ ώϡο ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ح۰ͩͳɺ Զهͯͨ͠Α ͓͍͓͍ɺ ԶͨͪΛ ΕΔͳΑʜʁ ͓͍͓͍ɺ ԶͨͪΛ ΕΔͳΑʜʁ
֤Ϧʔδϣϯʢݸʣͷ$POpH ౦ژͷ Config όʔδχΞͷ Config ϜϯόΠͷ Config ֤Ϧʔδϣϯͷ Configͨͪ
͋Γ͕ͱ͏ ͍͟͝·͢
νϦੵΕυϧ͑Δ 46υϧ 5υϧ 20213݄શମ 20214݄த० ʮ͓΅Ζ͛ͳ͕Β ු͔ΜͰ͖ͨΜͰ͢ɻʯ
$POpHͷྉۚ ɾه͞Εͨઃఆ߲͝ͱʹ0.003USD ɾ1000ΠϕϯτͰ3USD ɾIAM άϩʔόϧϦιʔεͳͷͰ ɹશϦʔδϣϯͷ Config ͕ه ͋Γ͕ͱ͏
͍͟͝·͢
$POpH͚ͩ͡Όͳ͍ େྔͷAPIίʔϧ Ͳ͏ͨ͠ Ͳ͏ͨ͠ Ͳ͏ͨ͠ Ͳ͏ͨ͠ ֤Ϧʔδϣϯͷ Trail ֤Ϧʔδϣϯͷ
GuardDuty
5SBJMͱ(VBSE%VUZͷྉۚ Ճͷίϐʔ ৴͞Εͨ ཧΠϕϯτ͋ͨΓ64% 6υϧ Trail 9υϧ GuardDuty ສΠϕϯτ͋ͨΓ64%
ສΠϕϯτ͋ͨΓ64%
͘͠͡Βͳ͍ͨΊʹ Ͳ͏͢Εආ͚ΒΕͨͷ͔
̏ͭ͋Γ·͢ • ɹ • ɹ • ɹ
̏ͭ͋Γ·͢ • IAMϩʔϧͰ༡ͳ͍ • ɹ • ɹ
̏ͭ͋Γ·͢ • IAMϩʔϧͰ༡ͳ͍ • ྉۚʹ͍ͭͯͷ௨Λ༗ޮԽ͢Δ • ɹ
ྫ͑ • ٻΞϥʔτ • AWS Budgets • ࡞ΓࠐΈʹΑΔఆظऔಘ https://dev.classmethod.jp/articles/
aws-budgets-alert-by-aws-chatbot/ https://dev.classmethod.jp/articles/ notify-slack-aws-billing/
ࢲͬͯ·͢ ͍ʜʜ
̏ͭ • IAMϩʔϧͰ༡ͳ͍ • ྉۚʹ͍ͭͯͷ௨Λ༗ޮԽ͢Δ • ConfigͷϕετϓϥΫςΟεʹ ͷͬͱΔ
$POpHͷϕετϓϥΫςΟε https:// aws.amazon.com/jp/ blogs/news/aws- config-best-practices/ Config ϕετϓϥΫςΟε ϒϩά |
ݕࡧ 20ݸͷϓϥΫςΟε
$POpHͷϕετϓϥΫςΟεʢൈਮʣ 1. ͯ͢ͷΞΧϯτͱϦʔδϣϯͰ AWS Config Λ༗ޮʹ͢Δ 2. ͯ͢ͷϦιʔελΠϓͷઃఆมߋΛه͢Δ 3.
1ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ 4. ઃఆཤྺͱεφοϓγϣοτϑΝΠϧΛऩू͢ΔϓϥΠϕʔτ ͳ S3 όέοτΛ༻͢Δ 5. ……
ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ ౦ژͷ Config ֤Ϧʔδϣϯͷ Configͨͪ ࢲ͚͕ͩ ه͠·͢ …… ͍ʜʜ
ҰํͰ
$POpHͷϕετϓϥΫςΟεʢൈਮʣ 1. ͯ͢ͷΞΧϯτͱϦʔδϣϯͰ AWS Config Λ༗ޮʹ͢Δ 2. ͯ͢ͷϦιʔελΠϓͷઃఆมߋΛه͢Δ 3.
1ͭͷϦʔδϣϯͰͷΈάϩʔόϧϦιʔεΛه͢Δ 4. ઃఆཤྺͱεφοϓγϣοτϑΝΠϧΛऩू͢ΔϓϥΠϕʔτ ͳ S3 όέοτΛ༻͢Δ 5. …… ͷͬͱΔͷ͕ ϚετͰͳ͍
$POpHͷهରͷબ https://docs.aws.amazon.com/ja_jp/ config/latest/developerguide/resource- config-reference.html ݸऑͷ ϦιʔελΠϓͷத͔Β ඞཁͷΈΛબ
ຊʹه͕ඞཁʁίετΛҙࣝ͠Α͏ ྫʣAutoScaling ؔ࿈Ϧιʔε͕ͯ͢هରͱͳΔͨΊɺ සൟʹஔ͖͕͑ߦΘΕΔ߹ɺ ίετ͕ਹΉ͜ͱɻ Auto scaling Instance Elastic
network interface Volume Security group શ෦هʹ͢ඞཁ ͋Δ͔ͳʁ
৽نରԠϦιʔεهͯ͘͠ΕΔͷخ͍͚͠ΕͲ 2021/2/26 •Configͷهର͕૿͑ͨ •ʮͯ͢Λهʯͷ߹ɺ৽نͷରࣗ ಈతʹه։࢝ •͜Ε·Ͱൃੜ͍ͯ͠ͳ͔ͬͨίετ͕ٸʹ ૿͑ͨɺͱ͍͏͜ͱى͜Γ͏Δ
ه͢Δ͜ͱΛݪଇͱͭͭ͠ίετҙࣝ • هΛ͢ͷେࣄ • ίετݟ߹͍ͰऔࣺબΛ Config Trail GuardDuty Ϧιʔεͷ
ઃఆ༰Λ ه͠·͢ ΠϕϯτΛ ه͠·͢ ෆ৹ͳ ΞΫςΟϏςΟΛ ݕ͠·͢
·ͱΊ
࣋ͪؼ͍ͬͯͩ͘͞ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ
࣋ͪؼ͍ͬͯͩ͘͞ ʮ͋ɺ͜͜ʹར༻අ͔͔ΔΜͩͳʯ ʮAWS Config ͷϕετϓϥΫςΟεʯ ʮIAMϩʔϧͰ༡ΜͰ͍͚ͳ͍ʯ