Comment nous avons réduit notre facture AWS mensuelle d'environ $5,000 avec Claude Code
Introduction
Avec Claude Code, nous avons réduit notre facture AWS mensuelle d’environ $5,000. Vu le contexte de change actuel, beaucoup de sociétés de développement logiciel souffrent probablement de leur facture AWS. J’espère que notre cas pourra leur être utile.
| Action | Économie/mois |
|---|---|
| Migration AWS Client VPN → Headscale VPN (Private CA inclus) | $1,178 |
| Nettoyage de Private CA et optimisation des clés de chiffrement | $2,300 |
| Extinction nocturne et week-end des ECS de développement | $988 |
| Achat d’instances réservées RDS | $811 |
| Consolidation des NAT Gateway | $267 |
| Passage à Fargate Spot | $263 |
| Autres (S3 lifecycle, etc.) | $78 |
| Total | $5,885 |
Guide Inc. Vietnam est une société de développement d’environ 50 personnes réparties entre le Vietnam et le Japon. Notre structure de coûts est simple : les salaires et les serveurs AWS dominent.
Récemment, une nouvelle ligne s’est ajoutée : les outils d’agents d’IA, en tête desquels Claude Code.
Nous avons adopté Claude Code sérieusement pour booster la productivité de l’équipe. À l’époque, le siège premium du Team Plan revenait à environ $150/mois par personne. Déployé à toute l’entreprise, ça commence vite à peser.
Adopter des outils d’IA pour gagner en productivité me paraît la bonne décision. Mais si de nouveaux coûts arrivent, il faut rééquilibrer en revoyant les coûts existants. En tant que société de développement, nos seuls vrais leviers sont les salaires et les serveurs.
Nous nous sommes donc lancés dans l’optimisation des coûts AWS.
Laisser Claude Code flairer les « smells » de coût
Le plus amusant : nous avons confié cette revue de coûts à Claude Code lui-même.
Chez nous, Claude Code dispose d’un skill AWS CLI. Configuration des profils AWS, authentification SSO, exécution des commandes CLI — il peut tout faire de manière autonome.
La première chose que nous avons faite, c’est lui faire scanner nos 19 comptes AWS. Quelle infrastructure tourne dans chacun, combien elle coûte, et y a-t-il des éléments qui sentent mauvais — qui dégagent une mauvaise odeur côté coût ?
Claude Code a mis en évidence plusieurs axes d’amélioration nets. Des optimisations propres aux environnements de dev. Des ressources oubliées qui traînaient depuis longtemps. Des points où un seul réglage suffit à dégager une grosse économie. Nous les avons traités un par un.
Vue d’ensemble du plan
Notre référence était de $30,398/mois en décembre 2025. Entre fin 2025 et fin mars 2026, nous avons exécuté les actions à la suite. Certaines — fin du VPN, suppression de la Private CA — ne produisent leur plein effet qu’à partir d’avril, donc une fois tout en place, nous prévoyons une économie de $5,000 à $6,000/mois par rapport à la référence de décembre.
Un résumé rapide des principales actions.
1. Extinction nocturne et week-end des ECS de développement (-$988/mois)
Nous avons fait éteindre automatiquement 55 services ECS de dev la nuit et le week-end. L’environnement de dev n’est utilisé qu’en horaires de bureau, mais tournait 24/7. Évident a posteriori, facile à laisser filer en pratique.
2. Migration AWS Client VPN → Headscale VPN (-$1,178/mois)
Détaillée plus loin. C’est l’action la plus intéressante.
3. Nettoyage de Private CA et optimisation des clés de chiffrement (-$2,300/mois)
L’arrêt d’AWS App Mesh a rendu la Private CA inutile, nous l’avons supprimée. Nous avons aussi revu la gestion des clés de chiffrement pour mieux équilibrer coût et exigences de sécurité.
4. Achat d’instances réservées RDS (-$811/mois)
Nous avons acheté les RI pour 5 instances au total (dev, staging, prod) d’un seul coup. $10,675 d’investissement initial, 44 % de remise, environ 11 mois de retour.
5. Passage à Fargate Spot (-$263/mois)
Nous avons basculé les services ECS de dev vers Fargate Spot. Sur des workloads de dev, le risque d’interruption Spot reste tolérable.
6. Consolidation des NAT Gateway (-$267/mois)
Dans 3 comptes, nous avons consolidé 3 NAT Gateway en 1 par compte. Trafic surveillé pendant 7 jours sur les AZ non utilisées, vérifié à zéro, puis suppression.
La migration VPN — passer de $1,178/mois à $42/mois
L’action la plus intéressante a été la migration VPN.
Nous utilisons des VPN pour accéder aux environnements de développement de nos clients. Au départ, nous utilisions AWS Client VPN. Il s’est avéré que ce Client VPN coûtait bien plus que prévu.
- AWS Client VPN (4 endpoints) : $776/mois
- AWS Private CA (autorité de certification) : $402/mois
- Total : $1,178/mois
Honnêtement, je n’imaginais pas que le VPN nous coûtait autant. C’est un des postes que nous n’avons découvert qu’en faisant lancer cette analyse de coûts par Claude Code.
Le choix Headscale
Comme remplaçant, nous avons choisi Headscale : un serveur de contrôle open source pour Tailscale. Côté client, on garde Tailscale tel quel.
Notre configuration :
- Serveur Headscale : 1 EC2 t3.small (~$21/mois)
- Authentification : Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/mois)
- Total : environ $42/mois
$1,178 deviennent $42. Une réduction de 96 %.
Logto comme socle d’authentification
Un mot sur Logto, le socle d’authentification que nous utilisons. C’est une plateforme d’authentification open source, auto-hébergeable, avec un vrai support OAuth 2.0 / OIDC. SSO Google, SSO GitHub, MFA, Organizations, applications M2M — tout cela est gratuit en édition auto-hébergée.
Pour des services externes sérieux il y a Logto Cloud, mais comme socle d’authentification unique pour les systèmes internes, c’est extrêmement solide. L’équipe livre activement de nouvelles versions, et personnellement j’apprécie beaucoup ce produit.
Point de design — ne pas changer l’IP de sortie
Le plus important dans cette migration VPN était de ne pas changer l’adresse IP publique. Nos clients ont nos IPs dans la liste blanche de leur pare-feu ; les changer aurait été catastrophique.
Solution : nous avons placé Headscale derrière le NAT Gateway existant. Le trafic VPN sort par le même NAT Gateway qu’avant, donc l’IP source ne change pas.
Un mois de dogfooding
Une fois en place, nous n’avons pas tout basculé d’un coup ; nous avons fait un mois complet de dogfooding.
Pour être franc, il y a eu pas mal de problèmes. Connexions interrompues, exit nodes instables, certaines machines incapables de se reconnecter.
Nous avons résolu chacun de ces points avec Claude Code : réglage des paramètres kernel (élargissement des buffers UDP, ajustement des timeouts conntrack), mise en place de notre propre relais DERP, formalisation des procédures de gestion des nœuds.
Il reste des choses à améliorer, mais en l’état actuel, ça tourne de manière stable dans l’environnement de dev.
Performances
Nous avons aussi vérifié les performances.
- Au début : 11-14 Mbps (via un relais DERP public)
- Après notre propre DERP : 106-134 Mbps
C’est au moins équivalent à AWS Client VPN.
Validation de l’effet via Cost Explorer
Exécuter les actions ne suffit pas — nous avons systématiquement vérifié l’effet dans AWS Cost Explorer, en faisant manipuler la CLI par Claude Code également.
Une découverte : le passage à Fargate Spot est difficile à voir avec les filtres standards de Cost Explorer. La remise Spot est enfouie dans la ligne Fargate, il faut aller voir spécifiquement. Ce genre de cas « on a fait la modification mais l’économie ne se voit pas », Claude Code peut creuser pour le résoudre.
Pour conclure
La structure de coûts à l’ère de l’IA évolue. De nouveaux postes apparaissent — Claude Code et consorts — mais ces mêmes outils peuvent être retournés vers l’optimisation des coûts d’infrastructure.
Dans notre cas, Claude Code a effectivement augmenté les coûts, mais Claude Code lui-même nous a fait économiser bien plus en coûts AWS. Investir dans l’IA et laisser l’IA rembourser les coûts : ce cycle commence à tourner correctement.
Ce que cette aventure m’a surtout appris, c’est l’importance de commencer par tout rendre visible. Passer 19 comptes en revue à la main n’est pas réaliste. C’est précisément parce que Claude Code disposait de l’AWS CLI et pouvait scanner en transverse que nous avons fait des découvertes comme « le VPN nous coûtait tant que ça ? ».
Il y a peut-être encore, dans votre environnement AWS, des odeurs de coût que personne n’a remarquées.
Cette fois, je me suis concentré sur la migration VPN ; si d’autres actions vous intéressent, je peux volontiers en faire des articles dédiés. Dites-moi ce qui vous intéresse en commentaire.
Masaki Kondo — PDG de Guide Inc. Vietnam https://koedesk.app