はじめに
ゼネットシステム事業部の方です。
ある朝、出社してメールを開くと
「【AWSコストアラート】今月の利用料金が予算オーバー」の通知が届いていました。
前日まで安定していた請求額が急に跳ね上がっている場合、原因を特定せずに放置すると、コストはさらに増え続けます。
本記事では、AWSでコスト異常が発生した際に 何を確認し、どう原因を突き止めるか を、実際の手順をもとに解説します。
-
AWS Cost Explorer で異常の概要を把握
-
CloudTrail で「誰が」「何を」したかを特定
-
社内での原因究明と再発防止策までの流れを理解
AWS初心者から実務エンジニアまで、実際に発生したコスト異常に対応できる力が身につく内容です。
請求額の異常を確認
まず最初に行うのは、どのサービスのコストが急増したのかを確認することです。
1. 請求とコスト管理で全体を把握する
AWSマネジメントコンソールから「Billing → Cost Explorer」を開き、期間を設定します。
グラフを日別・サービス別で確認すると、どのサービスが急増しているかが一目で分かります。
今回のケースでは OpenSearch Service(Serverless) のコストが急に跳ね上がっていました。
急増が見られた場合は、リージョン別や使用タイプ別に絞り込むことで、より原因を特定しやすくなります。
2. 対象サービスを特定する
Cost Explorerの画面で、「Service」→「OpenSearch Service」を選択して、どのサービスが急増の原因になっているかを特定します。
この段階でおおまかな「どのサービスが怪しいか」が見えてきます。
CloudTrailで操作履歴を確認
次のステップは、「誰が何をしたか」を調べることです。
1.まずは「どんな操作が行われたか」を探る
Cost ExplorerでOpenSearch Serviceのコスト急増を確認したものの、
「誰が」「どんな操作で」リソースを増やしたのかまでは分かりません。
次の一手は CloudTrail です。
ここではAWSアカウント内で発生したすべての操作(APIコール)を記録しているため、
不審なリソース作成や設定変更の履歴を特定できます。
2. イベント履歴を検索する
AWSマネジメントコンソールで
「CloudTrail → イベント履歴」を開きます。
-
ルックアップ属性でイベントソース(Event Source)を選択
-
検索バーに aoss.amazonaws.com と入力
- イベントソース一覧
aoss.amazonaws.comは Amazon OpenSearch Serverless の内部API名です。CloudTrailではサービス名ではなく、内部APIの名前空間で記録されます。
さらに、期間を絞ると跳ね上がる初日にCreateIndexやCreateCollectionに関連する操作があったので、イベント名を CreateCollection に絞り込んで検索しました。
3. 原因特定
この履歴から、特定ユーザーがOpenSearchのコレクションを新規作成していたことが確認できました。
作成されたコレクションは、バックエンドで自動的にストレージとデータ転送リソースを使用し続け、請求額の急増につながっていました。
社内での対応
-
作成ユーザーにヒアリング
-
必要に応じてIAM権限の見直し
-
コスト増加を防ぐための通知ルール・監査体制の強化
AWSでは技術的なトラブルだけでなく、人為的操作もコスト増の原因になり得ます。
CloudTrailとCost Explorerを組み合わせることで、早期発見・早期対処が可能です。
まとめ
今回紹介した手順をまとめます。
-
Cost Explorerで異常を検知
→ OpenSearch Serviceのコスト急増を確認 -
CloudTrailで操作履歴を調査
→ CreateCollectionイベントを発見し、実行ユーザーを特定 -
社内ヒアリングと再発防止策
→ IAM制限・通知ルール・ログ監査体制を強化
AWS環境では、技術的なトラブルだけでなく「人為的な操作」もコスト増の原因になりえます。
CloudTrail × Cost Explorer の組み合わせで、早期発見・早期対処が可能になります。
なお、ゼネットではこのような実務で役立つ知識を身につけられるAWS研修も実施しています。
