Account Factoryの自動作成VPCのNAT Gatewayに注意
年の瀬ですね。
地味に効くコストの話とその防止策をメモしました。
Control Towerを使い始めた
個人ユースで、AWSの検証を行う際に、別件で作成していたリソースが邪魔になることが多かったため、目的ごとにAWSアカウントを新設してしまう体制にしようと思ってControl Tower1を使い始めました。
これにより、ログ取得や利用リージョンの制限が働いたりと統制の取れた体制ができて安心感が増しました。
そして、Control Tower配下では、Account Factory2という機能があり、これを使うことで、AWSアカウントを自動で作成できます。
これを使って「〜〜〜の検証用」「ーーーのハンズオン用」などの目的ごとのAWSアカウントを作れるようになりました。
今回は、そのAccount Factoryを使って、アカウント作成をするに際して、直面した注意点を紹介します。
VPCを自動作成する際の注意点
Account FactoryでAWSアカウントを作成する際には、VPCを自動作成してくれる機能があります。CIDRブロックやリージョンを指定することで、AWSアカウントが払い出された時点でReadyなVPCが作成される仕組みです。
これは利用者サイドのAWSクラウドの熟練度によって設定がばらついてしまうのを防止し、組織としてあらかじめ指定されたネットワーク構成を使うようにさせるための仕組みとしても非常に合理的だと思います。
ただ、個人の動作検証用に使うAWSアカウントにおいては、自動生成のVPCを使うのではなく自由に各種設定が行えた方が便利です。
そのためとくに必要はないものでしたが、私が利用する際にこのオプションについて認識が浅く、下図のように使っていました。
結果、払い出されたAWSアカウントには東京とバージニアのリージョンでVPCが自動的に作成されていました。
バージニア:
東京:
いずれもaws-controltower-VPCという名前がついています。
先ほどの設定画面にも注意書きはあり、よく読んでいなかった自分が悪いのですが、このVPC関連リソースが作成されるに伴いNAT Gatewayも作成されており、それが継続的な課金の発生につながっていました。
いずれのリージョンとも自分で構築したVPCを使う予定だったので、これらのVPC関連で不要なコストが発生していることになります。
このままではもったいないコストを産み続ける事になるので、削除をします。
自動生成VPCの削除
このVPCは該当のAWSアカウント内でCloudFormationにて作成されているので、CloudFormationのスタックを削除することで関連リソースを丸ごと削除できます。
これを削除。
無事削除できました。
(手動での削除ができないように保護されているのかなと不安だったのですが、Control Towerの管理下に置かれるリソースというよりはAccount Factoryで一発きりの自動生成リソースという位置付けなのですかね。)
まとめ
以上、Control TowerのAccount FactoryでのAWSアカウント払出し時の自動生成VPCについて、そのコストについての注意点と、削除方法についてのメモでした。
AWS Organizationしかり、Control Towerなどの組織内の統制系のツール群は業務ユースではない、個人利用においては過剰なのかなと感じていたところもあったのですが、やはりAccount Factoryでのアカウント払い出しは非常に便利なので使っていきたいと思っています。(それが業務ユースで使う時の事前準備にもなるはずですし)
その際には今回のような注意点は他にも出くわすような気がするので、今後も気づいたことはメモしていこうと思います。
では。
