[AWS 부정 사용] 1일 동안 20만 엔 이상 요청 받으면 면제.

결실

결과에서 보고하면
AWS 스태프의 후의로 부당하게 사용한 비용은 면제되었습니다!!
AWS씨에게 정말 감사드리면서 다시는 이런 일이 없도록 보안을 재검토...
그래서 이걸 봤을 때 제가 일어난 일을 순서대로 이야기할 거라는 걸 아시는 분들도 계실 거예요.

이상한 메일이 발견됐어요.

사건의 폭로가 면제된 지 약 일주일 전
Your AWS account has been compromissed!
이런 낯선 메일을 받은 것부터.
원래는 클라우드워치를 사용하면서 사용료가 예산에 근접하면 경보 메일을 보내기 때문에 메일을 자주 점검하는데 이런 문자 메일은 처음 보내는데...
한참이 지났다!?
부당한 이용!?큰일났다, 큰일났다!
그리고 바로 AWS의 요청 금액을 확인하세요.
그리하여... 하다
특별히 증액된 금액은 없다.
함정인 줄 몰랐어요.
신중을 기하기 위해 AWS 루트 사용자를 삭제하고 비밀 키를 재발간했다.

[AWS Budgets: 월별has exceed your alert thereshould] 메일 도착

당신이 설정한 월별 예산을 초과했다는 뜻으로, "그건 원래 지금까지 예산 경보가 한 번도 울리지 않았잖아요"라며 애타게 AWS 콘솔 화면에 다시 접속하는데...

사용료가 2000위안이 넘는 것을 발견하다

계산서 화면을 보니 허리와 다리가 나른해졌다.


응?
2000엔이나 2.000달러를 잘못 알았지.. 그래..
역시 불가능하다고 생각해서 위치를 다시 확인해봤는데...
몇 번을 세어도 2000달러야..
하루가 이렇게 쓰였으니 눈치챘을 때는 안 되는데..

지원 센터에 문의해도 응답하지 않음

상당히 급한 마음에 영어와 일본어 두 언어로 지원센터에 신속히 연락했다.(AWS 직원이 일자리를 늘려서 미안합니다.)
그런데 30분, 1시간을 기다렸는데도 답장이 없어서...
이러다 정신이 나빠질 것 같아서 i시간 안에 답장하는 비즈니스 계획에 가입했다.

AWS 지원 문의

그리고 10분도 안 돼서 직원이 답장을 보냈어요.
내용
이어 "청구 면제를 논의할 때는 계좌가 안전한 상태인지 먼저 확인해야 한다"고 덧붙였다.
그렇습니다.
당장 적힌 지시대로 계좌 보안 강화로 옮겨.

몇 단계를 거쳐 면제를 신청하다

잘못된 자원 삭제

요청 화면의costexplore에서 불법으로 이용된 자원을 추출하여 삭제합니다.
내 경우, 거의 모든 구역에 EC2 실례, VPC, 그리고 US 범위 내의 RDS가 있다.그러나 발견 당시 AWS 측은 자원을 모두 삭제했기 때문에 별다른 것은 없었다.

보안 강화

IAM에서 추천을 받았기 때문에 이걸 전부 유효하게 했어요.

루트 액세스 키 삭제

무한 접근권을 가진 루트 사용자의 접근 키를 삭제하십시오. 그러나 자신이 원래 사용하지 않았기 때문에 특별한 변경은 없습니다.
앞으로도 안전성을 고려하면 사용하지 않겠습니다.

루트 계정을 사용하는 MFA

AWS의 루트 사용자는 이메일 주소와 비밀번호만으로 간단히 로그인할 수 있어 스마트폰과 연동하는 다중요소인증(MFA)을 유효화한다.
제가 구글 Authenticator를 직접 만들어서 콘솔에 노선으로 로그인할 때 활용하고 있습니다.
로그인 방법은 간단합니다. Google Authenticator를 스마트폰에 설치합니다.
↓
루트 계정 MFA 활성화 후 QR코드를 읽은 뒤 토큰(앱에 나오는 6자리 숫자)을 세 번 연속 입력하면 활성화된다.
그리고 로그인할 때 다요소 인증이 되는 입력 화면이 나와요.

해당 토큰을 확인하고 입력하면 로그인할 수 있습니다.

이 기호화폐는 일정 시간마다 변경되기 때문에 매우 안심이 된다.

개별 IAM 사용자 제작

콘솔에 로그인할 때도 루트 사용자를 함부로 사용하지 말고 필요한 사용자로 로그인하세요.

그룹을 사용하여 액세스 권한 지정

정책을 직접 첨부하지 않고 각 정책 그룹에 사용자를 등록하고 권한을 부여하는 것이 좋습니다.
자기의 형편
EC2 액세스용

자원제 역할(EC2, RDS, S3)

라는 2개를 용도에 맞게 재제작했다.

IAM 암호 정책 적용

암호도 엄격해져서 사용자가 암호를 변경할 수 있는 것을 제외한 모든 항목이 유효하다.

심의 결과는 약 일주일 내에 통지한다

그 후 편지 몇 통을 연락했는데, 대략 일주일이 지났다
"EC2의 요청 금액 중 2000.12달러의 요청을 제외했습니다."
이런 통지.
드디어 면제됐습니다.
엄밀히 말하면 청구금액을 면제해주는 것이 아니라 청구금액의 신용을 부가해 상쇄하는 형태로 청구가 줄었다.
정말 고마울 뿐이야.

Terraform 때문

Terraform 학습에서 aws 액세스 키가 붙어 있는 코드가 올라왔기 때문인 것 같습니다.
코드에 비밀 키를 다시 쓰는 등의 내용은 앞으로 철저히 차단할 것이다...

대책

IAM 사용자 권한 제한

지금까지는 IAM 이용자 아민과 풀에 대한 접근 권한을 줬지만, 솔직히 너무 많이 줘서 스스로 정책을 만들고 쓰기 등 필요한 최소한의 권한을 줬다.

필요 없는 사용자 삭제

또한Terraform에서 자원 제작을 마친 후 이미 사용한 사용자를 삭제하여 권한이 있는 사용자를 AWS에 남길 필요가 없도록 철저히 했다.

보안 강화

위에서 말한 바와 같다.

내 블로그 지원

이것은 마지막에 면제될 때까지 내 블로그를 지지해 왔다.
자신과 같은 상황에 처한 사람들의 말만 들어도 마음이 가벼워지고 이쪽 여러분에게도 감사해야 합니다.
AWS의 불법 사용으로 300만 엔의 요청을 받은 후 면제될 때까지
초보자가 AWS에서 불법으로 이용당해 6천 달러를 청구해 울 뻔한 이야기.
끝까지 읽어주셔서 감사합니다.
자신과 같은 일이 있는 사람이 있다면 참고하세요.