AGENDA
- 資料は公開してあります -> https://bit.ly/3SyED9w
- ※1. 履歴が増殖するため、シークレットウィンドウでご覧ください(Chromeを推奨)
- ※2. ところどころのオレンジの文字はリンクになっています
- ※3. スペースで次のページに進みます([o]でOverviewが見れます))
コトが終わってからだった…
- とある月初4日に、担当(*1)の方からの確認メール(日本語)
- 何日か前に、英語で管理者にメールが行っていたらしい
- ぼく、すぐに確認したら、大変なことに・・・(次項)
- (*1) [クラウドベンダー] [プロジェクト主幹社] [開発ベンダー社] [ぼく]
という4段階の委託関係があったが、別件で [クラウドベンダー] からの
「お伺い」に反応して、 [プロジェクト主幹社] をコトの4ヶ月程前に「繋いで」いた
起きていたコト
- 200台以上のハイスペックなGCE作成
- 作成したサービスアカウントはGCS参照用に払い出していたもの
- (Google Cloud) editor 権限があった
- IaC の実装で↑を確認
処置方針
- ハイスペックGCE全削除
- サービスアカウントのキーを全て revoke
- GCE不正作成の接続元特定
掛け合い要請
- 前述の担当の方に、本社へ返金(refund)申請が
通るようにフォローを重ねてお願いした
- 申請を通すにあたって、「どういう対策を
やっていくんですか?」を求められる(当然)ので、
案の実現可能性を考えた(次節)
自分の所感
- 通知設定はすぐにできる
しかし、1日で「ぶっとぶ」ので予算アラートでは「遅い」
- サービスアカウントのcredentialを使わないはAgree
- 「定点観測」が必要
驚愕の高額請求から 救済まで 2024/02/11 @sogaoh LT @ YAYAPC::Hiroshima
)
