Hoe we met Claude Code zo'n $5,000 per maand op AWS bespaarden
Inleiding
Met Claude Code hebben we onze maandelijkse AWS-rekening met zo’n $5,000 verlaagd. De yen staat zwak en ik vermoed dat veel softwarebedrijven zich zorgen maken over hun AWS-kosten. Hopelijk biedt onze case nuttige inzichten.
| Maatregel | Besparing/maand |
|---|---|
| Migratie van AWS Client VPN → Headscale VPN (incl. Private CA) | $1,178 |
| Opruimen Private CA en optimaliseren versleutelingssleutels | $2,300 |
| ECS in dev ‘s nachts en in het weekend uitschakelen | $988 |
| Aankoop Reserved Instances voor RDS | $811 |
| NAT Gateways consolideren | $267 |
| Overstappen op Fargate Spot | $263 |
| Overige (S3-levenscyclus etc.) | $78 |
| Totaal | $5,885 |
Ons bedrijf is een softwareontwikkelingsbedrijf met circa 50 medewerkers verdeeld over Vietnam en Japan. De kostenstructuur is eenvoudig: de grote posten zijn personeelskosten en AWS-servers. Samen vormen ze het leeuwendeel van de uitgaven.
Daar is recent een nieuwe kostenpost bijgekomen: AI-agenttools, met Claude Code als grootste voorbeeld.
Wij hebben Claude Code serieus binnengehaald om de productiviteit op te krikken. De premiumzetel op het Team Plan kostte destijds zo’n $150 per persoon per maand. Bedrijfsbreed loopt dat snel op tot een fors bedrag.
AI-tools inzetten om productiever te worden is op zich een goede beslissing. Maar als er nieuwe kosten bij komen, moeten de bestaande kosten omlaag om in balans te blijven. Als softwarebedrijf hebben we daar eigenlijk maar twee knoppen voor: personeel en infrastructuur.
Daarom zijn we ons gaan richten op AWS-kostenoptimalisatie.
Claude Code de “kostengeur” laten opsporen
Het interessantste is dat we deze kostenanalyse zelf óók door Claude Code lieten doen.
We hebben Claude Code een skill voor de AWS CLI gegeven. Profielen instellen, SSO-authenticatie, allerlei CLI-commando’s uitvoeren — dat kan het allemaal zelfstandig.
Het eerste dat we lieten doen was een dwarse scan over al onze 19 AWS-accounts. Welke infrastructuur draait er per account, wat kost dat alles en welke items “ruiken raar” — verdacht uit kostenoogpunt.
De analyse van Claude Code legde een aantal duidelijke verbeterpunten bloot. Optimalisaties die specifiek voor dev-omgevingen kunnen, resources die eigenlijk niet meer nodig zijn maar nog ronddraaien, configuraties die met één klik een hoop schelen. Die punten zijn we één voor één gaan opruimen.
Het totale plaatje
De baseline was $30,398 per maand in december 2025. Tussen eind 2025 en eind maart 2026 hebben we de maatregelen één voor één uitgerold. Omdat sommige acties — VPN-uitfasering en het verwijderen van Private CA’s — pas vanaf april volledig doorwerken, verwachten we dat de totale besparing op ongeveer $5,000 tot $6,000 per maand uitkomt ten opzichte van de baseline van december.
Hieronder de belangrijkste maatregelen in het kort.
1. ECS-dev ‘s nachts en in het weekend afsluiten (-$988/maand)
We laten de 55 ECS-services in onze dev-omgeving ‘s nachts en in het weekend automatisch uitschakelen. De dev-omgeving wordt alleen tijdens kantooruren gebruikt, maar draaide 24/7. Klinkt vanzelfsprekend, maar dit wordt verrassend vaak over het hoofd gezien.
2. Migratie AWS Client VPN → Headscale VPN (-$1,178/maand)
Hier later meer over. Dit is de leukste maatregel.
3. Private CA opruimen en encryptiesleutels optimaliseren (-$2,300/maand)
Door het uitfaseren van AWS App Mesh hadden we geen Private CA meer nodig, dus die zijn verwijderd. Daarnaast hebben we onze sleutelbeheerstrategie herzien om kosten en beveiligingseisen in balans te brengen.
4. RDS Reserved Instances kopen (-$811/maand)
We hebben in één keer RIs gekocht voor 5 instances in totaal (dev, staging en productie). Vooruitbetaling: $10,675 met 44% korting. Terugverdientijd ongeveer 11 maanden.
5. Overstap naar Fargate Spot Instances (-$263/maand)
We hebben de ECS-services in dev omgezet naar Fargate Spot. In een dev-omgeving is het onderbrekingsrisico van Spot-instances goed te accepteren.
6. NAT Gateways consolideren (-$267/maand)
Voor 3 accounts hebben we de telkens 3 NAT Gateways teruggebracht tot 1. We hebben het verkeer in de ongebruikte AZ’s 7 dagen lang gemonitord en pas na bevestiging van nul-verkeer verwijderd.
De VPN-migratie — van $1,178/maand naar $42/maand
De leukste maatregel was zonder twijfel de VPN-migratie.
We gebruiken VPN om toegang te geven tot de dev-omgevingen van onze klanten. Oorspronkelijk gebruikten we AWS Client VPN. Maar die Client VPN bleek veel duurder dan we dachten.
- AWS Client VPN (4 endpoints): $776/maand
- AWS Private CA (certificaatautoriteit): $402/maand
- Totaal: $1,178/maand
Eerlijk gezegd had ik niet door dat de VPN zoveel kostte. Het was een van de items die pas opdoken toen we Claude Code de kosten lieten analyseren.
Waarom Headscale
Als vervanger kozen we Headscale. Dat is de open-source variant van de Tailscale-controlserver; aan de cliëntkant blijf je gewoon Tailscale gebruiken.
De opzet:
- Headscale-server: 1× EC2 t3.small (~$21/maand)
- Authenticatie: Logto Self-Hosted (OIDC, 1× EC2 t3.small, ~$21/maand)
- Totaal: ongeveer $42/maand
Van $1,178 naar $42. Een reductie van 96%.
Logto als authenticatiefundament
Een paar woorden over het Logto dat we voor authenticatie gebruiken. Het is een open-source authenticatiebasis die je zelf kunt hosten en die OAuth 2.0 / OIDC gedegen ondersteunt. Google SSO, GitHub SSO, MFA, Organizations, M2M-applicaties — in de self-hosted versie zit dat allemaal gratis bij.
Voor publieksgerichte services bestaat ook Logto Cloud, maar als één gedeelde authenticatiebasis voor interne systemen is het bijzonder krachtig. Het ontwikkelteam blijft enthousiast doorbouwen en persoonlijk ben ik er groot fan van.
Architectuurkeuze — IP-adres niet wijzigen
Het belangrijkste bij de VPN-migratie was: het naar buiten zichtbare IP-adres niet veranderen. Klanten hebben onze IP-adressen in hun firewall-whitelist staan, dus zodra dat verandert wordt het een drama.
De oplossing: we hebben Headscale achter de bestaande NAT Gateway gehangen. Verkeer via de VPN gaat nog steeds via diezelfde NAT Gateway naar buiten, dus het bron-IP-adres blijft hetzelfde.
Een maand dogfooding
Na het opzetten zijn we niet meteen volledig overgegaan, maar hebben we een maand lang dogfooding gedaan.
Eerlijk is eerlijk: er waren best wat problemen. Verbindingen vielen weg, de Exit Node was instabiel, sommige apparaten konden niet opnieuw verbinden, etc.
Die problemen losten we samen met Claude Code één voor één op. Kernelparameters tunen (UDP-buffers vergroten, conntrack-timeouts bijstellen), een eigen DERP-relay-server bouwen, het beheer van nodes proceduriseren, enzovoort.
Er zijn nog wat losse eindjes, maar momenteel draait het in de dev-omgeving stabiel.
Performance
We hebben ook de prestaties gecheckt.
- Begin: 11-14 Mbps (via publieke DERP-relay)
- Na eigen DERP: 106-134 Mbps
Vergelijkbaar met of beter dan AWS Client VPN.
Verificatie in Cost Explorer
Een maatregel uitrollen is niet genoeg: we controleren altijd het effect in AWS Cost Explorer. Ook dat laat ik Claude Code via CLI doen.
Bij de overstap naar Fargate Spot ontdekten we bijvoorbeeld dat het effect lastig te zien is in de standaardfilters van Cost Explorer. De Spot-korting verdwijnt in de Fargate-post, dus je moet apart inzoomen. Dat soort “ik heb het gedaan maar het effect is niet zichtbaar”-problemen kunnen we nu ook door Claude Code laten uitzoeken.
Tot slot
De kostenstructuur in het AI-tijdperk verschuift. Aan de ene kant komen er nieuwe kosten bij door tools als Claude Code, aan de andere kant kun je diezelfde tool gebruiken om infrastructuurkosten te optimaliseren.
Bij ons stegen de adoptiekosten van Claude Code wel degelijk, maar Claude Code zelf zorgde voor een AWS-besparing die de extra kosten ruimschoots overtreft. Investeren in AI, en AI zelf de rekening laten terugverdienen — die cirkel begint goed te draaien.
De grootste les: eerst alles inzichtelijk maken. Het is niet realistisch om 19 accounts handmatig door te ploegen. Juist omdat we Claude Code de AWS CLI gaven en een dwarse scan lieten draaien, kwamen kostenverrassingen als de VPN aan het licht.
In jouw AWS-omgeving sluimeren waarschijnlijk ook nog wat kosten met een verdachte geur die wachten op ontdekking.
In dit stuk lag de focus op de VPN-migratie, maar als er vraag naar is schrijf ik graag aparte artikelen over de andere maatregelen. Laat het in de comments weten als iets je interesseert.
Masaki Kondo — CEO van Guide Inc. Vietnam https://koedesk.app