Cerita memangkas biaya AWS sekitar $5,000 per bulan berkat Claude Code
Pembuka
Saya berhasil memangkas biaya AWS sekitar $5,000 per bulan berkat Claude Code. Di tengah pelemahan yen seperti sekarang, saya kira banyak perusahaan pengembangan sistem yang juga pusing dengan tagihan AWS. Semoga kisah perusahaan kami bisa menjadi referensi.
| Inisiatif | Penghematan/bln |
|---|---|
| Migrasi AWS Client VPN → Headscale VPN (termasuk Private CA) | $1,178 |
| Perapian Private CA dan optimasi kunci enkripsi | $2,300 |
| Mematikan ECS environment dev pada malam hari dan akhir pekan | $988 |
| Pembelian RDS Reserved Instance | $811 |
| Konsolidasi NAT Gateway | $267 |
| Migrasi ke Fargate Spot | $263 |
| Lainnya (S3 lifecycle, dll.) | $78 |
| Total | $5,885 |
Perusahaan kami adalah perusahaan pengembangan sistem dengan sekitar 50 staf yang tersebar di Vietnam dan Jepang. Struktur biayanya sederhana: yang terbesar adalah biaya tenaga kerja dan biaya server AWS. Dua pos ini menyerap sebagian besar pengeluaran.
Lalu belakangan, muncul pos biaya baru: biaya untuk perangkat AI agent seperti Claude Code.
Kami secara serius mengadopsi Claude Code demi efisiensi kerja. Saat itu, kursi premium Team Plan sekitar $150 per bulan per orang. Kalau diperluas ke seluruh perusahaan, jumlahnya tidak sedikit.
Memperkenalkan alat AI untuk menaikkan produktivitas — keputusan itu sendiri menurut saya benar. Tetapi kalau ada biaya baru yang muncul, biaya yang lama perlu ditinjau ulang agar tetap seimbang. Sebagai perusahaan pengembangan sistem, yang bisa ditinjau ulang hanya biaya tenaga kerja dan biaya server.
Maka, saya memutuskan untuk menggarap optimasi biaya AWS.
Membiarkan Claude Code mengendus “aroma” biaya
Hal menarik adalah peninjauan biaya ini sendiri pun saya percayakan kepada Claude Code.
Di perusahaan kami, Claude Code dibekali skill AWS CLI. Mulai dari pengaturan profile AWS, autentikasi SSO, sampai menjalankan berbagai perintah CLI — semuanya bisa dilakukan Claude Code secara mandiri.
Yang pertama saya minta adalah memindai 19 akun AWS secara menyeluruh. Di setiap akun, infrastruktur apa yang berjalan, berapa biayanya. Lalu, mana yang punya “aroma” mencurigakan dari sisi biaya.
Dari hasil yang Claude Code paparkan, beberapa titik perbaikan yang jelas pun muncul. Ada yang bisa dioptimalkan karena khusus dev environment, ada resource yang sebenarnya tidak perlu tapi dibiarkan, ada yang cukup satu konfigurasi saja untuk memangkas besar. Satu per satu saya selidiki dan tuntaskan.
Gambaran besar inisiatif pemangkasan
Baseline-nya adalah $30,398 per bulan pada Desember 2025. Dari akhir 2025 sampai akhir Maret 2026, saya mengeksekusi setiap inisiatif secara bertahap. Beberapa inisiatif seperti penghapusan VPN dan penghapusan Private CA baru tercermin penuh sejak April, sehingga setelah semuanya terasa, diperkirakan memangkas sekitar $5,000–6,000 per bulan dari baseline Desember.
Berikut ringkasan singkat inisiatif utamanya.
1. Mematikan ECS dev pada malam hari dan akhir pekan (-$988/bln)
Saya membuat 55 ECS service di environment dev mati otomatis pada malam hari dan akhir pekan. Environment dev hanya dipakai dalam jam kerja, tetapi sebelumnya berjalan 24 jam 365 hari. Hal yang sangat mendasar, tapi mengejutkan seberapa sering hal ini terlewat.
2. Migrasi AWS Client VPN → Headscale VPN (-$1,178/bln)
Saya bahas lebih jauh di bawah. Ini inisiatif paling menarik.
3. Perapian Private CA dan optimasi kunci enkripsi (-$2,300/bln)
Bersamaan dengan dihapusnya AWS App Mesh, Private CA juga tidak lagi diperlukan sehingga saya hapus. Ditambah, saya menata ulang cara pengelolaan kunci enkripsi agar seimbang antara biaya dan kebutuhan keamanan.
4. Pembelian RDS Reserved Instance (-$811/bln)
Membeli RI sekaligus untuk total 5 instance dev/staging/prod. Investasi di muka $10,675 dengan diskon 44%. Secara hitungan, balik modal sekitar 11 bulan.
5. Migrasi ke Fargate Spot Instance (-$263/bln)
Saya memindahkan ECS service environment dev ke Fargate Spot. Untuk dev environment, risiko interupsi pada Spot instance masih dapat diterima.
6. Konsolidasi NAT Gateway (-$267/bln)
Pada 3 akun, dari 3 NAT Gateway saya konsolidasi menjadi 1. Saya memantau lalu lintas AZ yang tidak digunakan selama 7 hari, memastikan nol, lalu menghapusnya.
Cerita migrasi VPN — Dari $1,178 menjadi $42 per bulan
Inisiatif yang paling menarik di antara semuanya adalah migrasi VPN.
Perusahaan kami menggunakan VPN untuk mengakses environment dev pelanggan. Awalnya kami memakai AWS Client VPN. Tetapi biaya Client VPN ini ternyata jauh lebih besar dari yang saya bayangkan.
- AWS Client VPN (4 endpoint): $776 per bulan
- AWS Private CA (CA penerbit sertifikat): $402 per bulan
- Total: $1,178 per bulan
Sejujurnya, saya tidak menyangka VPN bisa menelan biaya sebesar itu. Ini salah satu pos yang baru saya sadari setelah Claude Code memeriksa biaya.
Pilihan bernama Headscale
Sebagai pengganti, saya memilih Headscale. Ini adalah server kontrol open source untuk Tailscale; di sisi klien tetap menggunakan Tailscale apa adanya.
Konfigurasinya seperti ini:
- Server Headscale: 1 EC2 t3.small (~$21 per bulan)
- Autentikasi: Logto Self-Hosted (autentikasi OIDC, 1 EC2 t3.small, ~$21 per bulan)
- Total: sekitar $42 per bulan
Dari $1,178 menjadi $42. Pengurangan 96%.
Logto sebagai fondasi autentikasi
Sedikit tentang Logto yang saya pakai untuk autentikasi. Ini adalah fondasi autentikasi OSS yang bisa di-self-host, dengan OAuth 2.0 / OIDC yang lengkap. Google SSO, GitHub SSO, MFA, Organizations, aplikasi M2M — semuanya gratis di versi self-host.
Untuk layanan eksternal yang benar-benar serius, ada opsi Logto Cloud, tapi untuk berdiri sebagai fondasi autentikasi sistem internal, Logto sangat kuat. Tim pengembang juga rajin memberi pembaruan, dan secara pribadi saya sangat menjagokannya.
Poin desain — Tidak mengubah alamat IP
Hal paling saya jaga saat migrasi VPN adalah tidak mengubah alamat IP yang dipublikasikan ke luar. Firewall pelanggan kami sudah memasukkan IP kami ke whitelist, jadi jika berubah situasinya akan kacau.
Sebagai solusi, saya menempatkan Headscale di bawah NAT Gateway. Lalu lintas yang melewati VPN tetap keluar melalui NAT Gateway yang sudah ada, sehingga alamat IP sumbernya tidak berubah.
Dogfooding selama satu bulan
Setelah dibangun, saya tidak langsung mengalihkan seluruh perusahaan, tetapi memberi waktu satu bulan untuk dogfooding.
Sejujurnya, masalahnya cukup banyak. Koneksi terputus, Exit Node tidak stabil, perangkat tertentu tidak bisa terhubung kembali — bermacam masalah muncul.
Masalah-masalah ini juga saya selesaikan satu per satu bersama Claude Code. Tuning parameter kernel (memperbesar buffer UDP, menyesuaikan timeout conntrack), membangun server DERP relay sendiri, menyusun prosedur operasional manajemen node, dan sebagainya.
Masih banyak yang perlu disempurnakan, tetapi saat ini sudah berjalan stabil di environment dev.
Sisi performa
Performanya juga saya cek.
- Awal: 11–14 Mbps (melalui public DERP relay)
- Setelah DERP sendiri: 106–134 Mbps
Kecepatannya setara atau bahkan melampaui AWS Client VPN.
Verifikasi efek dengan Cost Explorer
Eksekusi tidak berhenti sampai inisiatif selesai — saya selalu memverifikasi efeknya lewat AWS Cost Explorer. Bagian ini pun saya minta Claude Code lakukan via CLI.
Contohnya, migrasi ke Fargate Spot ternyata sulit terlihat lewat filter Cost Explorer. Diskon Spot tergabung dalam item Fargate, sehingga perlu pemeriksaan tersendiri. Masalah seperti “katanya sudah dilakukan tapi efeknya tidak terlihat” pun bisa diatasi dengan meminta Claude Code menggali lebih dalam.
Penutup
Struktur biaya di era AI sedang berubah. Di satu sisi muncul biaya baru untuk alat seperti Claude Code, di sisi lain alat itu sendiri dapat digunakan untuk mengoptimalkan biaya infrastruktur.
Di kasus perusahaan kami, biaya pengenalan Claude Code memang meningkat, tetapi Claude Code sendiri membantu memangkas biaya AWS lebih besar dari itu. Berinvestasi pada AI, lalu menutup biayanya dengan AI — siklus ini mulai berputar dengan baik.
Yang saya pelajari dari upaya ini adalah pentingnya “memvisualisasikan keseluruhan terlebih dahulu”. Menelusuri 19 akun secara manual tidak realistis. Justru karena Claude Code dibekali AWS CLI dan diminta memindai lintas akun, kami bisa menemukan hal seperti VPN — “ternyata semahal ini?”.
Mungkin di environment AWS Anda pun ada “aroma” biaya yang belum Anda sadari, masih tertidur di sana.
Kali ini saya banyak menceritakan tentang migrasi VPN, tetapi kalau ada permintaan, saya akan menulis artikel terpisah untuk inisiatif yang lain. Kalau ada yang menarik perhatian, jangan ragu meninggalkan komentar.
Masaki Kondo — CEO, Guide Inc. Vietnam https://koedesk.app