\nva vous permettre de rem\u00e9dier \u00e0 \u00e7a. Il s’agit d’un petit CLI Python compatible Linux, macOS et Windows (dispo via
pip<\/code> ou pipx<\/code>) qui va scanner vos comptes AWS et Azure pour d\u00e9busquer toutes ces ressources orphelines. Le truc, c’est qu’il tourne uniquement en lecture seule, donc pas de mutation, pas de suppression, et z\u00e9ro modification de tags. Lui se contente de regarder, de prendre des notes, et de vous sortir un bon vieux report.json<\/code> ou CSV avec tout le d\u00e9tail.<\/p>\n![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/cleancloud-nettoyeur-cloud-aws-azure\/cleancloud-nettoyeur-cloud-aws-azure-2.png\")
<\/p>\n
Du coup, c\u00f4t\u00e9 permissions IAM, c’est le strict minimum… 14 permissions en lecture seule type ec2:Describe*<\/code>, s3:List*<\/code> ou rds:DescribeDBInstances<\/code>. C’est d’ailleurs bien fichu puisque le code v\u00e9rifie statiquement via AST qu’aucun appel en \u00e9criture ne passe. Donc pas besoin de filer vos cl\u00e9s IAM \u00e0 un outil tiers, et \u00e7a c’est plut\u00f4t rassurant pour les \u00e9quipes s\u00e9cu qui flippent (\u00e0 juste titre) d\u00e8s qu’on parle d’acc\u00e8s cloud.<\/p>\nL’outil embarque 20 r\u00e8gles de d\u00e9tection. 10 pour AWS, 10 pour Azure. C\u00f4t\u00e9 AWS, \u00e7a scanne comme vous l’aurez devin\u00e9 les volumes EBS non attach\u00e9s, les vieux snapshots, les logs CloudWatch en r\u00e9tention infinie, les Elastic IP orphelines, les ENI d\u00e9tach\u00e9es, les AMI cr\u00e9\u00e9es en 2022 qui tra\u00eenent, les NAT Gateways au repos, les instances RDS \u00e0 l’arr\u00eat…etc.<\/p>\n
C\u00f4t\u00e9 Azure, m\u00eame combat avec les disques manag\u00e9s, les IP publiques inutilis\u00e9es, les VMs stopp\u00e9es qui continuent de bouffer du stockage Premium SSD.<\/p>\n
Pour chaque trouvaille, vous avez un score de confiance (LOW, MEDIUM, HIGH) et une estimation du co\u00fbt mensuel gaspill\u00e9 en dollars. En fait c’est assez bien foutu, le rapport vous donne le type de ressource, la r\u00e9gion, l’\u00e2ge du truc et combien \u00e7a vous co\u00fbte.<\/p>\n
Hop, un pipx install cleancloud<\/code> et c’est parti :<\/p>\n\ncleancloud scan --provider aws --all-regions\n<\/span><\/span><\/code><\/pre>\nY’a m\u00eame un mode d\u00e9mo sans aucun credential requis, histoire de voir la t\u00eate du rapport JSON avant de brancher vos vrais comptes. Perso, je trouve \u00e7a bien pour voir \u00e0 quoi \u00e7a ressemble :<\/p>\n
\ncleancloud demo\n<\/span><\/span><\/code><\/pre>\nEt pour ceux qui veulent aller plus loin, le scanner s’int\u00e8gre dans vos pipelines CI\/CD. GitHub Actions, Azure DevOps, Docker CI, peu importe. Vous collez un --fail-on-cost 100<\/code> (exit code 2 si le gaspillage d\u00e9passe 100 $\/mois) ou un --fail-on-confidence HIGH<\/code> et hop, le build p\u00e8te si y’a du d\u00e9chet. De quoi automatiser le m\u00e9nage. Vous mettez juste cette commande dans votre CI et c’est pli\u00e9.<\/p>\nD’ailleurs, la config supporte aussi le filtrage par tags. Vous cr\u00e9ez ce fichier cleancloud.yaml<\/code> \u00e0 la racine de votre projet, vous excluez vos ressources de prod taggu\u00e9es env:production<\/code>, et le scan ignore ce qui doit l’\u00eatre. Attention par contre, si vos ressources sont mal taggu\u00e9es (et on sait tous que c’est souvent le cas…), le filtre ne servira \u00e0 rien.<\/p>\nC\u00f4t\u00e9 s\u00e9curit\u00e9, l’outil ne fait aucun appel vers des serveurs tiers et cause uniquement avec les API AWS et Azure de vos propres comptes, et supporte aussi l’auth OIDC avec des credentials temporaires. Voil\u00e0 m\u00eame si c’est un projet super jeune encore, c’est plut\u00f4t bien pens\u00e9 pour les environnements corporate. C’est sous licence MIT et le code Python est sur GitHub donc tout est v\u00e9rifiable.<\/p>\n
Bref, si votre facture cloud vous pique les yeux, un pip install cleancloud<\/code> et comme \u00e7a, vous en saurez plus… C’est gratuit, c’est open source, et surtout \u00e7a ne casse rien !<\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"Le gaspillage du cloud, c’est un peu le secret de polichinelle du devops. Tout le monde sait qu’il y a des volumes EBS d\u00e9tach\u00e9s qui tra\u00eenent, des snapshots vieux de 6 mois, des Elastic IP \u00e0 3,65 $\/mois qui servent \u00e0 rien… mais bon, on nettoie pas. Parce qu’on a trop les miquettes de casser un truc en prod. Mais entre le volume de 500 Go “temporaire” cr\u00e9\u00e9 en 2024 et le NAT Gateway qui facture 32 $\/mois dans le vide, \u00e7a chiffre assez vite. CleanCloud va vous permettre de rem\u00e9dier \u00e0 \u00e7a. Il s’agit d’un petit CLI Python compatible Linux, macOS et Windows (dispo via pip ou pipx) qui va scanner vos comptes AWS et Azure pour d\u00e9busquer toutes ces ressources orphelines. Le truc, c’est qu’il tourne uniquement en lecture seule, donc pas de mutation, pas de suppression, et z\u00e9ro modification de tags. Lui se contente de regarder, de prendre des notes, et de vous sortir un bon vieux report.json ou CSV avec tout le d\u00e9tail. Du coup, c\u00f4t\u00e9 permissions IAM, c’est le strict minimum… 14 permissions en lecture seule type ec2:Describe*, s3:List* ou rds:DescribeDBInstances. C’est d’ailleurs bien fichu puisque le code v\u00e9rifie statiquement via AST qu’aucun appel en \u00e9criture ne passe. Donc pas besoin de filer vos cl\u00e9s IAM \u00e0 un outil tiers, et \u00e7a c’est plut\u00f4t rassurant pour les \u00e9quipes s\u00e9cu qui flippent (\u00e0 juste titre) d\u00e8s qu’on parle d’acc\u00e8s cloud. L’outil embarque 20 r\u00e8gles de d\u00e9tection. 10 pour AWS, 10 pour Azure. C\u00f4t\u00e9 AWS, \u00e7a scanne comme vous l’aurez devin\u00e9 les volumes EBS non attach\u00e9s, les vieux snapshots, les logs CloudWatch en r\u00e9tention infinie, les Elastic IP orphelines, les ENI d\u00e9tach\u00e9es, les AMI cr\u00e9\u00e9es en 2022 qui tra\u00eenent, les NAT Gateways au repos, les instances RDS \u00e0 l’arr\u00eat…etc. C\u00f4t\u00e9 Azure, m\u00eame combat avec les disques manag\u00e9s, les IP publiques inutilis\u00e9es, les VMs stopp\u00e9es qui continuent de bouffer du stockage Premium SSD. Pour chaque trouvaille, vous avez un score de confiance (LOW, MEDIUM, HIGH) et une estimation du co\u00fbt mensuel gaspill\u00e9 en dollars. En fait c’est assez bien foutu, le rapport vous donne le type de ressource, la r\u00e9gion, l’\u00e2ge du truc et combien \u00e7a vous co\u00fbte. Hop, un pipx install cleancloud et c’est parti : cleancloud scan –provider aws –all-regions Y’a m\u00eame un mode d\u00e9mo sans aucun credential requis, histoire de voir la t\u00eate du rapport JSON avant de brancher vos vrais comptes. Perso, je trouve \u00e7a bien pour voir \u00e0 quoi \u00e7a ressemble : cleancloud demo Et pour ceux qui veulent aller plus loin, le scanner s’int\u00e8gre dans vos pipelines CI\/CD. GitHub Actions, Azure DevOps, Docker CI, peu importe. Vous collez un –fail-on-cost 100 (exit code 2 si le gaspillage d\u00e9passe 100 $\/mois) ou un –fail-on-confidence HIGH et hop, le build p\u00e8te si y’a du d\u00e9chet. De quoi automatiser le m\u00e9nage. Vous mettez juste cette commande dans votre CI et c’est pli\u00e9. D’ailleurs, la config supporte aussi le filtrage par tags. Vous cr\u00e9ez ce fichier cleancloud.yaml \u00e0 la racine de votre projet, vous excluez vos ressources de prod taggu\u00e9es env:production, et le scan ignore ce qui doit l’\u00eatre. Attention par contre, si vos ressources sont mal taggu\u00e9es (et on sait tous que c’est souvent le cas…), le filtre ne servira \u00e0 rien. C\u00f4t\u00e9 s\u00e9curit\u00e9, l’outil ne fait aucun appel vers des serveurs tiers et cause uniquement avec les API AWS et Azure de vos propres comptes, et supporte aussi l’auth OIDC avec des credentials temporaires. Voil\u00e0 m\u00eame si c’est un projet super jeune encore, c’est plut\u00f4t bien pens\u00e9 pour les environnements corporate. C’est sous licence MIT et le code Python est sur GitHub donc tout est v\u00e9rifiable. Bref, si votre facture cloud vous pique les yeux, un pip install cleancloud et comme \u00e7a, vous en saurez plus… C’est gratuit, c’est open source, et surtout \u00e7a ne casse rien !<\/p>\n","protected":false},"author":1,"featured_media":2458,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2457","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2457","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2457"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2457\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2458"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2457"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}