AWS Cost Explorer — Отчет об обнаружении аномалий затрат выявил неавторизованного пользователя Amazon Sagemaker Canvas

Очень дорогой урок

В этом месяце я получил огромный сюрприз — прогноз на счет за июль в размере $586, связанный с моей корневой учетной записью AWS. В качестве лучшей практики я никогда не использую свою корневую учетную запись AWS и всегда создаю проекты с помощью логина учетной записи AWS IAM.

Консоль управления AWS предоставляет сводку использования сервисов AWS, прогнозируемые расходы, в частности, показывает, что Amazon Sagemaker имеет прогноз на конец месяца в размере $578,57, причем в текущем месяце расходы увеличились более чем на 300%. Я не использовал Amazon Sagemaker в последнее время 🙄 и это вызвало опасения по поводу моих неожиданных расходов.

Amazon Cost Explorer

Перейдя в Amazon Cost Explorer, AWS Cost Management предоставляет сводный обзор затрат, комментарии с правой стороны, а также график, показывающий, что ежедневное использование увеличилось на 270% в регионе US-East-1 (N.Virginia).

Я перемещался по каждой из панелей для изучения дополнительной информации о понесенных затратах, таких как регион, тип экземпляра и связанная учетная запись.

Тип экземпляра

Я проверил в разделе Instance Type, чтобы узнать, есть ли активные экземпляры EC2. После 11 июля 2022 года активных экземпляров не было.

Тип использования

На этой панели я могу определить, что после 11 июля 2022 года кто-то создал сессию Amazon Sagemaker Canvas с 11 по 17 июля (выделено фиолетовым цветом).

Связанная учетная запись

Я использовал данные входа в корневой аккаунт AWS, чтобы проверить все активные сессии Amazon Sagemaker Canvas.

Снижение затрат — очистка активных ресурсов AWS

На предыдущей неделе, 11 июля, я очистил свою учетную запись AWS от активных ресурсов, таких как:

a) Удаление экземпляров EC2 в регионах Sydney, Ohio и N.Virginia

b) закрытие всех активных сессий Cloud9

c) Удаление любых активных стеков Cloud Formation

d) Удаление любых заданий обработки AWS Sagemaker

e) Опустошение ведер S3 для завершенных заданий AWS Glue.

Снижение затрат — создание отчета об обнаружении аномалий в затратах AWS

В качестве дополнительной меры я создал отчет об аномалиях затрат, который может быть отправлен мне по электронной почте для выявления любой подозрительной активности на моем аккаунте AWS, превышающей порог в $15. Вы можете создать отчет об обнаружении аномалий затрат по этой ссылке

AWS Cost Anomaly Detection Report использует машинное обучение для выявления аномалий и основных причин расходов на облако.

Вы также можете загрузить отчет об обнаружении аномалий в формате csv, чтобы просмотреть детали неожиданных расходов:

Сократить расходы — Удалить, если не используется — Amazon Sagemaker Canvas

Перейдите на Amazon Sagemaker Canvas, нажмите на Canvas, а затем нажмите на Getting Started. Я обнаружил активные сессии неавторизованного пользователя ‘michael-c’, который генерировал рабочие нагрузки по $40 в день с 13 по 18 июля на моей учетной записи. Я выполнил инструкции по устранению и предотвращению неавторизованного пользователя по этой ссылке.

Я удалил приложение из Amazon Sagemaker Canvas, а затем удалил пользователя.

На диаграмме вы можете увидеть неавторизованного пользователя ‘michael-c’.

AWS CloudWatch

Далее я исследовал AWS CloudWatch для подтверждения уровня использования Amazon Sagemaker Canvas пользователем ‘michael-c’ в восточном регионе США (N.Virginia), чтобы понять, сколько дней я получал плату с экземпляра Canvas.

AWS CloudWatch смог проследить за показателями службы AWS и предоставить дополнительные доказательства для моего расследования неожиданных обвинений.

Блокировка публичного доступа ко всем ведрам Amazon S3

Я хотел просмотреть свои ведра Amazon S3, чтобы узнать, можно ли еще больше сократить ежемесячный счет. Вот что я обнаружил:

a) Пользователь ‘michael-c’ создал ведро S3 с номером моей учетной записи AWS и префиксом региона US- East-1 (N.Virginia).

Я удалил все файлы в этом ведре.

b) Это ведро S3 было общедоступным, а не частным. Я обновил настройки, чтобы заблокировать публичные S3 ведра.

Создание MFA на корневой учетной записи и учетной записи пользователя Admin IAM

Для дополнительной защиты моей связанной учетной записи AWS Root я также внедрил многофакторную аутентификацию (MFA), как рекомендуется на панели AWS IAM. Обратитесь к этому блогу и выполните все шаги для включения MFA на всех учетных записях AWS.

Лучшие рекомендации по включению MFA включают загрузку Twilio Authy для iPhone или Android и привязку его к вашему мобильному устройству. Вы можете найти шаги здесь.

MFA обеспечивает дополнительный уровень безопасности для идентификации пользователя в процессе входа в учетную запись AWS.

Заключительные шаги — смена паролей

В качестве дополнительной меры для предотвращения несанкционированного доступа к учетной записи AWS я также сбросил пароли для учетных записей пользователей AWS IAM и Root.

Я рекомендую вам также регулярно менять пароли электронной почты и по возможности включить двухфакторную аутентификацию.

Надеюсь, вам не придется учиться на собственном опыте, как мне. До следующего раза, счастливого обучения! 😁

Присоединяйтесь к нам на конференции AWS re:Inforce 2022

На следующей неделе состоится конференция AWS re:Inforce, 26-27 июля 📆.

Обучающая конференция по вопросам соответствия, конфиденциальности и идентификации 🔐🛠️

— Зарегистрируйтесь, чтобы посмотреть ключевые выступления и сессии в прямом эфире онлайн 📺

— Ссылка: https://reinforce.awsevents.com