当有人访问安全密钥并在 aws 帐户上启动大量 m3.large 现场实例 (50+) 时,我们的公司帐户出现了账单冲击。
服务器在被发现之前运行了一夜,当天的账单超过了 7000 美元。
事件发生后,我们在帐户上设置了多项安全措施,包括
key rotation
password minimum length
password expiry
Billing alerts
Cloudwatch
Git precommit hooks to look for AWS keys
我还没有找到将账单金额限制在所需最高阈值的方法。
AWS 是否提供设置账单上限的方法(每日/每月)?在这方面是否有任何最佳实践可以添加到上述措施中以防止未经授权的使用?
【问题讨论】:
标签: security amazon-web-services cloud billing
亚马逊没有在账单飙升的情况下“采取行动”的机制。你可以做你已经做过的事情:
此外,您还可以:
AWS 不做任何积极的事情是有充分理由的:您到底希望他们做什么?做任何不符合您的商业惯例的事情都可能完全损害您的公司。
例如,您有一个自动扩展组管理一个小型 EC2 实例队列。有一天,您的公司获得了一些意想不到的好消息,您的网站活动激增,启动了新的 EC2 实例来满足需求,并超越了您的账单警报。如果 AWS 终止或停止 EC2 实例以防止您的账单发疯,那么您的客户将无法访问您的网站。这可能会损害您公司的声誉,甚至更糟。
如果您想采取行动,您可以在计费警报上设置触发器,并根据您的业务需求自行处理。这就是 AWS 的构建方式:它为您提供工具;您需要以最适合您业务的方式使用这些工具。
【讨论】:
【讨论】:
虽然 AWS 不支持计费上限,但它支持服务上限,包括 EC2 实例数量上限 - 请参阅 http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html。默认情况下,新账户的上限为 20 个 EC2 实例,但可以更改此限制。
【讨论】: