Startupy uwielbiaj\u0105 chmur\u0119. Skalujesz si\u0119 szybko, p\u0142acisz za to, czego u\u017cywasz. Ale jest jeden cichy zab\u00f3jca bud\u017cet\u00f3w, o kt\u00f3rym ma\u0142o kto m\u00f3wi na spotkaniach: \u017ale skonfigurowane uprawnienia IAM. Nie chodzi tylko o bezpiecze\u0144stwo \u2013 cho\u0107 to te\u017c wa\u017cne. Chodzi o prawdziwe pieni\u0105dze, kt\u00f3re wyp\u0142ywaj\u0105 z konta co miesi\u0105c, bo kto\u015b kiedy\u015b doda\u0142 'admin’ dla ca\u0142ego zespo\u0142u.<\/p>\n
W JurskiTech od lat pomagamy firmom projektowa\u0107 architektury chmurowe. I za ka\u017cdym razem widzimy to samo: nadmiarowe uprawnienia = nadmiarowe koszty. Poka\u017c\u0119 Ci trzy konkretne mechanizmy, przez kt\u00f3re straci\u0107 mo\u017cna nawet 30% miesi\u0119cznego rachunku za AWS.<\/p>\n
Wyobra\u017a sobie startup, kt\u00f3ry uruchamia pipeline danych. Ka\u017cdy developer ma dost\u0119p do S3 z pe\u0142nymi prawami. Kto\u015b przypadkiem uruchamia skrypt, kt\u00f3ry pobiera 10 GB danych do lokalnego \u015brodowiska. Niby nic \u2013 ale je\u015bli robi to codziennie, a zesp\u00f3\u0142 liczy 10 os\u00f3b, robi si\u0119 100 GB tygodniowo. W AWS op\u0142aty za transfer danych z S3 do internetu s\u0105 liczone od ka\u017cdego GB. Mno\u017cysz przez 4 tygodnie i nagle masz 400 GB \u2013 koszt rz\u0119du kilkuset dolar\u00f3w miesi\u0119cznie, kt\u00f3ry powsta\u0142 tylko dlatego, \u017ce brakowa\u0142o restrykcji na pobieranie.<\/p>\n
Prawda jest taka, \u017ce wi\u0119kszo\u015b\u0107 developer\u00f3w nie potrzebuje dost\u0119pu do produkcji. Ale w startupach cz\u0119sto panuje kultura 'dajmy wszystkim full access, bo szybciej’. To b\u0142\u0105d. Ka\u017cde niepotrzebne uprawnienie to potencjalny koszt \u2013 nie tylko w transferze, ale te\u017c w operacjach, kt\u00f3re mog\u0105 by\u0107 uruchomione przez pomy\u0142k\u0119.<\/p>\n
Pami\u0119tam przypadek klienta, kt\u00f3ry migrowa\u0142 z monolitu na mikroserwisy. W ramach refactoringu powsta\u0142o wiele nowych funkcji Lambda i nowych r\u00f3l IAM. Nikt nie posprz\u0105ta\u0142 starych r\u00f3l. Po roku okaza\u0142o si\u0119, \u017ce maj\u0105 150 roli IAM, z kt\u00f3rych 80 nie by\u0142o u\u017cywanych od miesi\u0119cy. Ka\u017cda rola to potencjalny koszt zwi\u0105zany z zarz\u0105dzaniem, ale przede wszystkim z us\u0142ugami, kt\u00f3re by\u0142y do niej przypisane \u2013 np. nieu\u017cywane instancje EC2, kt\u00f3re dalej dzia\u0142a\u0142y, bo kto\u015b zapomnia\u0142 je wy\u0142\u0105czy\u0107. Rachunek ur\u00f3s\u0142 o 20% wi\u0119cej ni\u017c potrzebowali.<\/p>\n
Rozwi\u0105zanie? Regularny audyt IAM. AWS oferuje narz\u0119dzia takie jak IAM Access Analyzer i Cost Explorer, kt\u00f3re pomagaj\u0105 identyfikowa\u0107 nieu\u017cywane role i zasoby. Ale to wymaga dyscypliny. W startupach cz\u0119sto odk\u0142adamy to 'na p\u00f3\u017aniej’, a p\u00f3\u017aniej p\u0142acimy.<\/p>\n
To ju\u017c historia jak z horroru. Startup, kt\u00f3ry mia\u0142 pe\u0142ny dost\u0119p do EC2 i S3 dla ka\u017cdego cz\u0142onka zespo\u0142u. Kto\u015b wrzuci\u0142 na Slacka klucz dost\u0119pu (tak, zdarza si\u0119). Boty skanuj\u0105ce GitHub z\u0142apa\u0142y go w ci\u0105gu godziny. W efekcie na koncie pojawi\u0142y si\u0119 instancje GPU w regionie, o kt\u00f3rym nikt nie s\u0142ysza\u0142. Po trzech dniach rachunek wyni\u00f3s\u0142 15 000 dolar\u00f3w \u2013 za wydobywanie kryptowalut. IAM mog\u0142o to zatrzyma\u0107, gdyby polityki by\u0142y ograniczone do minimum. Wystarczy\u0142o, aby klucz mia\u0142 tylko prawo do odczytu z S3 w jednym bucketcie \u2013 a nie do uruchamiania instancji.<\/p>\n
Kryptominerzy to realne zagro\u017cenie. AWS ma mechanizmy takie jak Service Control Policies (SCP) i granice uprawnie\u0144, ale wiele startup\u00f3w ich nie stosuje, bo 'to dodatkowa robota’. Tylko \u017ce ta 'robota’ to godzina konfiguracji, kt\u00f3ra mo\u017ce uchroni\u0107 przed strat\u0105 tysi\u0119cy dolar\u00f3w.<\/p>\n
Po pierwsze, zasada najmniejszego uprawnienia. Ka\u017cda rola powinna mie\u0107 tylko te uprawnienia, kt\u00f3re s\u0105 niezb\u0119dne do wykonania zadania. Brzmi banalnie, ale w praktyce wymaga analizy. Na pocz\u0105tek warto u\u017cy\u0107 narz\u0119dzia AWS IAM Access Analyzer do generowania polityk na podstawie rzeczywistego u\u017cycia.<\/p>\n
Po drugie, regularne przegl\u0105dy. Raz na kwarta\u0142 \u2013 przejrzyj wszystkie role, usu\u0144 nieu\u017cywane, ogranicz te, kt\u00f3re maj\u0105 za du\u017co. Ustaw alerty bud\u017cetowe w AWS Budgets, kt\u00f3re poinformuj\u0105 Ci\u0119 o przekroczeniu prog\u00f3w.<\/p>\n
Po trzecie, automatyzacja. Wykorzystaj skrypty do wykrywania nieu\u017cywanych r\u00f3l i us\u0142ug. W JurskiTech stosujemy w\u0142asne skrypty, kt\u00f3re co tydzie\u0144 skanuj\u0105 konto i wysy\u0142aj\u0105 raport. To 30 minut roboty, kt\u00f3ra oszcz\u0119dza tysi\u0105ce.<\/p>\n
Z\u0142e IAM to nie tylko problem bezpiecze\u0144stwa \u2013 to realny wyciek pieni\u0119dzy. W startupach, gdzie ka\u017cda z\u0142ot\u00f3wka si\u0119 liczy, ignorowanie zarz\u0105dzania uprawnieniami to luksus, na kt\u00f3ry nas nie sta\u0107. Audytuj, ograniczaj, automatyzuj. Tw\u00f3j bud\u017cet Ci podzi\u0119kuje.<\/p>\n
Je\u015bli potrzebujesz pomocy w audycie AWS lub projektowaniu bezpiecznej i oszcz\u0119dnej architektury \u2013 daj zna\u0107. W JurskiTech pomagamy ma\u0142ym i \u015brednim firmom skalowa\u0107 si\u0119 bez przepalania bud\u017cetu w chmurze.<\/p>\n","protected":false},"excerpt":{"rendered":"
Koszty niewidzialne: jak z\u0142e AWS IAM niszczy bud\u017cet startupu Startupy uwielbiaj\u0105 chmur\u0119. Skalujesz si\u0119 szybko, p\u0142acisz za to, czego u\u017cywasz. Ale jest jeden cichy zab\u00f3jca bud\u017cet\u00f3w, o kt\u00f3rym ma\u0142o kto m\u00f3wi na spotkaniach: \u017ale skonfigurowane uprawnienia IAM. Nie chodzi tylko o bezpiecze\u0144stwo \u2013 cho\u0107 to te\u017c wa\u017cne. Chodzi o prawdziwe pieni\u0105dze, kt\u00f3re wyp\u0142ywaj\u0105 z konta<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[455,451,452,454,453],"class_list":["post-1656","post","type-post","status-publish","format-standard","hentry","category-warto-wiedziec","tag-audyt-uprawnien","tag-aws-iam","tag-bezpieczenstwo-chmury","tag-koszty-chmury","tag-startup-it"],"_links":{"self":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/posts\/1656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/comments?post=1656"}],"version-history":[{"count":0,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/posts\/1656\/revisions"}],"wp:attachment":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/media?parent=1656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/categories?post=1656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/tags?post=1656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}