입문

AWS의 부탁이 무섭네...
특히 AWS가 처음 시작되었을 때 금액이 얼마나 발생할지 몰라서 제 요청 계기판을 자주 봤어요.
아직 이상 금액을 청구받지는 못했지만 앞으로 어떻게 될지 모르기 때문에 최대한 대책을 강구하려고 합니다.
"그럼 이상 금액의 청구를 받지 않기 위해서는 무엇을 주의해야 하나요?"
"어떤 상황에서 고액의 청구가 있을 수 있습니까?"
내가 스스로 총결해 보았는데, 참고로 삼을 수 있다면 정말 좋겠다.

고액 청구 정보

나는 AWS의 원치 않는 요청은 크게 다음과 같은 세 가지 모델로 나눌 수 있다고 생각한다.

AWS 계정의 중요 정보 유출로 인한 불법 사용

리소스 삭제 잊음

아키텍처 설계 오류

왜 일어났는지 볼게요.

AWS 계정의 중요 정보 유출로 인해 불법 사용

제일 비싸지기 쉬운 게 이 패턴이에요.
구글의 약 800만 엔 사례도 있다.GCP입니다.
Qiita에도 몇 편의 문장이 있다.이런 기사를 읽으면 위가 아프다.
모든 글의 근본 원인은 "액세스 키 ID와 키 유출"입니다.
이것은 IAM 사용자를 만들 때 나타납니다.

이 키를 사용하면 이 키를 가진 IAM 사용자의 권한을 사용할 수 있습니다.
따라서 "EC2 인스턴스"를 시작할 수 있는 사용자라면 권한을 활용하여 가상 화폐 발굴에 사용할 고성능 인스턴스를 만듭니다.
그러니까 절대 나오지 않도록 조심하세요.
(또는 CLI, SDK, CDK를 사용할 계획이 없는 사람은 만들지 않는 것이 좋다.)
더욱 구체적인 유출 경로는 아래의 보도를 참고할 수 있다.

GitHub에 AWS 키를 붙이면 바로 뽑혀요, 정말요???한번 해보자!

너무 무서워!
다행히도 FullAccess 권한이라도 액세스 키 ID와 암호 액세스 키만으로 암호를 변경할 수 없습니다.
관리 콘솔에 로그인할 수 있으니 당황하지 말고 적당히 처리하세요.
상기 보도에도 소개된 바와 같이 만약에 git-secrets 가져오면 접근 키 ID, 비밀 접근 키가commit,push 데이터에 포함되면 알려줄 것 같습니다.적극적으로 가져오세요.

참고 자료

AWS에서 불법으로 이용된 80000달러의 요청이 들어오면
초보자가 AWS에서 6000달러 부당 이용을 요청받고 울컥하면.

자원 삭제 잊어버리기

나는 이것이 가장 있는 것이라고 생각한다.
공부를 위해 자원을 만들고 지우는 것을 잊고 방치하면 요청이 와서 깜짝 놀랐어요.
나 자신도 시위를 없애고 만든 Nat Gateway를 잊어버리고 천 엔 정도 청구하러 왔다.
이 대책은 필요하지 않은 자원을 철저히 삭제하는 것이다.
CloudFormation 등을 Stack으로 관리하면 삭제를 잊는 것을 줄일 수 있습니다.
한스톤 등을 하는 상황에서 어떤 자원을 만들었는지 등을 적당히 필기하면서 진행하면 삭제를 잊지 않는다.
여기서 주의해야 할 주요 시간 비용 계산 자원은 다음과 같다.
(비용은 모두 도쿄 지역 가격이다.)

필요에 따라 EC2 인스턴스

EC2를 정지시켜도 EBS에서 비용이 발생합니다. 주의

건설을 시도하려면 t2가 틀림없다.마이크로를 선택하세요

ElasticIP

비용 체계가 좀 복잡하다.자세한 내용은 코키라 을 참조하십시오.

NatGateway

시간당 0.062USD(+ 데이터 처리 비용)

RDS

유휴 요금계의 왕.Aurora 및db.t2.small 시간당 0.063달러

ELB

ALB는 시간당 0.0243달러(+LCU 비용)입니다.자세한 내용은 참조 코키라

아키텍처 설계 오류

마지막으로 습관이 되었을 때 쉽게 할 수 있는 것은'구조의 디자인 오류'이다.
대표적으로'람다의 무한순환'이다.S3에 업로드된 파일을 트리거로 실행하면 쉽게 발생할 것 같습니다.

lambda의 비용
비용
요청하다
100만 개당 0.20달러 요청
운행 시간
GB-초당 0.00001667달러
정부에서도 경고문을 보냈어요.
만약 Lambda 함수가 사용하는 시간이 이 함수를 촉발하는 시간과 같다면, 이 함수는 순환에서 실행될 수 있습니다.예를 들어, 객체를 업로드할 때마다 타임에 함수를 트리거합니다. 이 함수가 객체를 타임에 업로드하면 함수 자체가 간접적으로 트리거됩니다.이런 상황을 피하려면 두 시간 동안 사용하거나 트리거를 수신 대상에만 적용되는 접두사로 설정하십시오.
Lambda 함수의 실행 로그는 CloudWatchlogs로 출력되므로 배치 후 즉시 이상 로그가 있는지 확인해야 합니다.

그럼 도대체 초보자는 뭘 신경 써야 하나요???

지금까지 사례가 섞인 고액 청구가 들어오지 않도록 대충 다음 몇 가지를 주의하면 된다.

리소스 생성 전 비용 파악

"AWS 서비스 이름"으로 찾아보면 공식 리소스 페이지가 인기를 끌 것이다.
최저도'개요란, 비용'을 반드시 보아야 한다.

더 이상 필요하지 않은 리소스 즉시 삭제

"무슨 자원을 사용하는가"인식

열쇠 등 비밀물품을 함부로 들지 마라

정기 검사내 계산 계기판

경로에 들어가지 않아도 IAM 사용자로부터 확인할 수 있도록 설정할 수 있습니다.

CloudWatch에서 청구서 정보 경고 설정

총결산

AWS는 양요금제의 특징으로 볼 때 원가가 파란색 천장의 무서운 점이자 편리한 부분이다.
설정과 운용에 주의하고 싶습니다.
또 AWS는 정액 이상의 요청이 있을 때 경보하는 기능과 실례 유형을 정기적으로 검사하는 등 설정 자체의 Config의 사용자 정의 규칙 등이 있기 때문에 고액의 요청을 받지 않도록 대책을 세워야 한다.