Cómo recortamos unos $5,000 mensuales de AWS con Claude Code
Introducción
Con Claude Code hemos reducido la factura mensual de AWS en alrededor de $5,000. Con el panorama cambiario actual, imagino que muchas empresas de desarrollo estarán sufriendo con sus facturas de AWS. Espero que nuestro caso sea de ayuda.
| Acción | Ahorro/mes |
|---|---|
| Migración AWS Client VPN → Headscale VPN (incluye Private CA) | $1,178 |
| Limpieza de Private CA y optimización de claves de cifrado | $2,300 |
| Apagado nocturno y de fin de semana de ECS de desarrollo | $988 |
| Compra de instancias reservadas de RDS | $811 |
| Consolidación de NAT Gateway | $267 |
| Migración a Fargate Spot | $263 |
| Otros (ciclo de vida de S3, etc.) | $78 |
| Total | $5,885 |
Guide Inc. Vietnam es una empresa de desarrollo de software con unas 50 personas entre Vietnam y Japón. Nuestra estructura de costes es sencilla: lo gordo son las nóminas y los servidores de AWS.
Últimamente se ha sumado una nueva partida: las herramientas de agentes de IA, empezando por Claude Code.
Adoptamos Claude Code en serio para subir la productividad del equipo. En su momento, el asiento premium del Team Plan rondaba los $150/mes por persona. Llevado a toda la empresa, suma bastante.
Adoptar herramientas de IA para mejorar la productividad me parece la decisión correcta. Pero si entran costes nuevos, hay que recalibrar revisando los costes ya existentes. Como empresa de desarrollo, las palancas que podemos mover son básicamente las nóminas y los servidores.
Así que nos pusimos a optimizar los costes de AWS.
Que Claude Code huela los «smells» de coste
Lo curioso es que esta misma revisión de costes la hicimos hacer a Claude Code.
En nuestra empresa Claude Code tiene un skill de AWS CLI. Configuración de perfiles AWS, autenticación SSO, ejecución de comandos CLI: todo eso puede hacerlo de forma autónoma.
Lo primero fue hacerle un escaneo transversal de nuestras 19 cuentas de AWS. Qué infraestructura corre en cada cuenta, cuánto cuesta, y si hay algo que huele mal desde el punto de vista de coste.
Claude Code sacó a la luz varios focos claros de mejora. Cosas optimizables específicamente en dev. Recursos olvidados que llevaban tiempo dando vueltas. Casos en los que un solo ajuste da grandes ahorros. Fuimos pasando uno por uno.
El plan general
Nuestra línea base era de $30,398/mes en diciembre de 2025. Entre finales de 2025 y finales de marzo de 2026 fuimos ejecutando las acciones en orden. Algunas — la retirada del VPN, la eliminación de la Private CA — solo despliegan su efecto pleno a partir de abril, así que con todo encajado prevemos unos $5,000–$6,000/mes menos respecto a la línea base de diciembre.
Un resumen rápido de las acciones principales.
1. Apagado nocturno y de fin de semana de ECS de desarrollo (-$988/mes)
Configuramos 55 servicios ECS de dev para que se apaguen automáticamente por la noche y los fines de semana. El entorno de dev solo se usa en horario de oficina, pero estaba corriendo 24/7. Obvio a posteriori, fácil de pasar por alto en la práctica.
2. Migración AWS Client VPN → Headscale VPN (-$1,178/mes)
Detallado más abajo. La acción más interesante.
3. Limpieza de Private CA y optimización de claves de cifrado (-$2,300/mes)
Al retirar AWS App Mesh, la Private CA dejó de ser necesaria y la borramos. Además, revisamos la gestión de las claves de cifrado para encontrar un mejor equilibrio entre coste y requisitos de seguridad.
4. Compra de instancias reservadas de RDS (-$811/mes)
Compramos las RI de 5 instancias en total (dev, staging y producción) en una sola tacada. $10,675 de inversión inicial, 44 % de descuento, amortización en torno a 11 meses.
5. Migración a Fargate Spot (-$263/mes)
Pasamos los servicios ECS de dev a Fargate Spot. En cargas de dev, el riesgo de interrupción de Spot es asumible.
6. Consolidación de NAT Gateway (-$267/mes)
En 3 cuentas consolidamos 3 NAT Gateway en 1 cada uno. Monitorizamos el tráfico en las AZ no usadas durante 7 días, comprobamos que era cero y solo entonces los borramos.
La migración del VPN: de $1,178/mes a $42/mes
La acción más interesante de todas fue la migración del VPN.
Usamos VPN para acceder a los entornos de desarrollo de nuestros clientes. Originalmente usábamos AWS Client VPN. Resultó que este Client VPN nos costaba mucho más de lo que pensábamos.
- AWS Client VPN (4 endpoints): $776/mes
- AWS Private CA (autoridad certificadora): $402/mes
- Total: $1,178/mes
Honestamente, no me esperaba que el VPN nos costase tanto. Fue uno de los puntos que solo afloraron cuando le pedimos a Claude Code la investigación de costes.
La opción Headscale
Como sustituto elegimos Headscale: un servidor de control open source para Tailscale. En el cliente se sigue usando Tailscale tal cual.
Nuestra configuración:
- Servidor Headscale: 1 EC2 t3.small (~$21/mes)
- Autenticación: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/mes)
- Total: unos $42/mes
$1,178 pasan a $42. Reducción del 96 %.
Logto como base de autenticación
Un apunte sobre Logto, la base de autenticación que usamos. Es una plataforma de autenticación open source y auto-alojable con soporte serio de OAuth 2.0 / OIDC. SSO de Google, SSO de GitHub, MFA, Organizations, aplicaciones M2M: en la edición self-hosted todo eso es gratis.
Para servicios externos serios existe Logto Cloud, pero como base de autenticación unificada para sistemas internos es enormemente potente. El equipo publica versiones nuevas a buen ritmo y personalmente soy bastante fan del producto.
Decisión clave de diseño: no cambiar la IP de salida
Lo más importante en la migración del VPN fue no cambiar la dirección IP pública. Nuestros clientes nos tienen las IP en sus listas blancas de firewall; cambiarlas sería un drama.
Solución: colocamos Headscale detrás del NAT Gateway existente. El tráfico del VPN sigue saliendo por el mismo NAT Gateway, así que la IP de origen no cambia.
Un mes de dogfooding
Una vez montado, no migramos a toda la empresa de golpe; hicimos un mes completo de dogfooding.
Siendo sincero, hubo bastantes problemas. Conexiones que se caían, exit nodes inestables, equipos concretos que no podían reconectarse.
Fuimos resolviendo todo esto con Claude Code: ajuste de parámetros del kernel (ampliar buffers UDP, ajustar timeouts de conntrack), montar nuestro propio servidor relay DERP, formalizar procedimientos operativos para la gestión de nodos.
Aún quedan cosas pendientes, pero a día de hoy funciona de forma estable en el entorno de desarrollo.
Rendimiento
También verificamos el rendimiento.
- Al inicio: 11-14 Mbps (vía relay DERP público)
- Tras montar nuestro DERP: 106-134 Mbps
Está al nivel o por encima de AWS Client VPN.
Verificación de impacto en Cost Explorer
No basta con ejecutar las acciones: comprobamos siempre el efecto en AWS Cost Explorer, y aquí también dejamos a Claude Code manejar la CLI.
Un hallazgo: la migración a Fargate Spot es difícil de ver con los filtros estándar de Cost Explorer. Los descuentos Spot quedan diluidos dentro del epígrafe de Fargate, hay que ir a verlo específicamente. Este tipo de casos del estilo «lo hicimos pero el ahorro no aparece» también los puede investigar Claude Code.
Para terminar
La estructura de costes de la era de la IA está cambiando. Aparecen partidas nuevas — Claude Code y compañía — pero esas mismas herramientas pueden orientarse a la optimización de los costes de infraestructura.
En nuestro caso, Claude Code sí incrementó costes, pero el propio Claude Code nos ahorró bastante más en AWS. Invertimos en IA y la IA devuelve el dinero. Ese ciclo está empezando a girar bien.
Lo que más aprendí en esta ronda fue la importancia de hacer visible todo el conjunto primero. Revisar 19 cuentas a mano no es realista. Solo porque Claude Code tenía la AWS CLI y podía hacer un barrido transversal pudimos encontrar cosas como «¿de verdad nos costaba tanto el VPN?».
Quizá en vuestro entorno AWS también haya, sin que nadie lo haya visto aún, algún olor de coste durmiendo por ahí.
Esta vez me he centrado en la migración del VPN; si os interesan otras acciones, las puedo abordar en artículos dedicados. Decidme en comentarios qué os interesa.
Masaki Kondo — CEO de Guide Inc. Vietnam https://koedesk.app