Como reduzimos cerca de $5,000 por mês na conta da AWS com o Claude Code
Introdução
Reduzimos cerca de $5,000 por mês na conta da AWS com o Claude Code. Com o iene desvalorizado, sei que muitas empresas de desenvolvimento andam apertadas com a fatura da AWS. Espero que o caso da nossa empresa seja útil de alguma forma.
| Iniciativa | Redução/mês |
|---|---|
| Migração de AWS Client VPN → Headscale VPN (incluindo Private CA) | $1,178 |
| Limpeza de Private CA e otimização das chaves de criptografia | $2,300 |
| Desligamento noturno e de fim de semana do ECS em desenvolvimento | $988 |
| Compra de Reserved Instances para RDS | $811 |
| Consolidação de NAT Gateways | $267 |
| Migração para Fargate Spot | $263 |
| Outros (ciclo de vida do S3, etc.) | $78 |
| Total | $5,885 |
Nossa empresa é uma empresa de desenvolvimento de sistemas com cerca de 50 pessoas entre Vietnã e Japão. A estrutura de custos é simples: os dois maiores blocos são a folha de pagamento e a fatura de servidores na AWS. Esses dois itens respondem pela maior parte das despesas.
E recentemente surgiu um novo bloco de custo: as ferramentas baseadas em agentes de IA, lideradas pelo Claude Code.
Adotamos o Claude Code de forma séria para ganhar produtividade. Na época, o assento Premium do Team Plan custava cerca de $150 por pessoa/mês. Multiplicado por toda a empresa, o valor é bem expressivo.
Adotar ferramentas de IA para subir a produtividade é, em si, uma decisão certa. Mas se aparece um custo novo, é preciso revisar os custos existentes para manter o equilíbrio. Como somos uma empresa de desenvolvimento, os únicos itens grandes que podemos revisar são folha de pagamento e infraestrutura.
Por isso, decidimos atacar a otimização de custos na AWS.
Deixar o Claude Code farejar o “cheiro” do custo
O mais interessante é que essa própria revisão de custos foi feita pelo Claude Code.
Aqui, demos ao Claude Code uma skill com a AWS CLI. Configuração de perfis, autenticação SSO e execução dos comandos da CLI são tarefas que ele pode realizar de forma autônoma.
A primeira coisa que pedi foi um escaneamento transversal das nossas 19 contas AWS. Que infraestrutura roda em cada uma, quanto custa cada item, e quais deles “cheiram mal” — ou seja, parecem suspeitos do ponto de vista de custo.
A varredura do Claude Code revelou alguns pontos claros de melhoria. Otimizações específicas de ambiente de desenvolvimento, recursos abandonados que nem deveriam estar ativos, configurações simples que poderiam reduzir muito o custo. Fomos derrubando esses itens um por um.
Visão geral das iniciativas
A baseline era $30,398 por mês, medida em dezembro de 2025. As iniciativas foram executadas em sequência entre o fim de 2025 e o fim de março de 2026. Como o desligamento da VPN e a remoção das Private CAs só refletem por completo a partir de abril, com todas as ações em efeito esperamos uma redução de cerca de $5,000 a $6,000 por mês em relação à baseline de dezembro.
A seguir, um resumo das principais ações.
1. Desligamento noturno e de fim de semana do ECS em desenvolvimento (-$988/mês)
Configuramos as 55 services ECS de desenvolvimento para desligarem automaticamente à noite e nos fins de semana. O ambiente de desenvolvimento só é usado em horário comercial e, ainda assim, rodava 24/7. Parece óbvio, mas é um detalhe que costuma passar despercebido.
2. Migração de AWS Client VPN → Headscale VPN (-$1,178/mês)
Detalho mais adiante. É a iniciativa mais interessante.
3. Limpeza de Private CA e otimização das chaves de criptografia (-$2,300/mês)
Com a aposentadoria do AWS App Mesh, as Private CAs ficaram desnecessárias e foram removidas. Em paralelo, revisamos a forma de gerenciar as chaves de criptografia para equilibrar custo e requisitos de segurança.
4. Compra de Reserved Instances para RDS (-$811/mês)
Compramos RIs para um total de 5 instâncias (desenvolvimento, staging e produção) de uma só vez. Investimento prévio de $10,675 com 44% de desconto. Pelo cálculo, o retorno acontece em cerca de 11 meses.
5. Migração para Fargate Spot Instances (-$263/mês)
Migramos os serviços ECS de desenvolvimento para Fargate Spot. Em ambiente de desenvolvimento, o risco de interrupção das instâncias Spot é aceitável.
6. Consolidação de NAT Gateways (-$267/mês)
Em 3 contas, consolidamos 3 NAT Gateways em 1 cada. Monitoramos por 7 dias o tráfego das AZs sem uso e, confirmando volume zero, removemos os redundantes.
A história da migração de VPN — de $1,178/mês para $42/mês
De todas as iniciativas, a mais divertida foi a migração da VPN.
Usamos VPN para que nossa equipe acesse os ambientes de desenvolvimento dos clientes. Originalmente, usávamos AWS Client VPN. Mas o custo desse Client VPN estava muito mais alto do que imaginávamos.
- AWS Client VPN (4 endpoints): $776/mês
- AWS Private CA (autoridade certificadora): $402/mês
- Total: $1,178/mês
Sinceramente, eu não fazia ideia de que a VPN estava custando tanto. Foi um dos itens que só notamos quando o Claude Code fez a varredura de custos.
A opção Headscale
Como substituto, escolhemos o Headscale. É a versão open source do servidor de controle do Tailscale e permite continuar usando o cliente Tailscale tal como está.
A arquitetura ficou assim:
- Servidor Headscale: 1 EC2 t3.small (~$21/mês)
- Autenticação: Logto Self-Hosted (OIDC, 1 EC2 t3.small, ~$21/mês)
- Total: cerca de $42/mês
De $1,178 para $42. Uma redução de 96%.
O Logto como base de autenticação
Vale dizer algumas palavras sobre o Logto, que usamos para autenticação. É uma base de autenticação open source que pode ser auto-hospedada, com bom suporte a OAuth 2.0 / OIDC. Recursos como Google SSO, GitHub SSO, MFA, Organizations e aplicações M2M estão todos disponíveis gratuitamente na versão self-hosted.
Para serviços externos, existe ainda o Logto Cloud, mas como base única de autenticação para sistemas internos ele é extremamente poderoso. A equipe de desenvolvimento está bastante ativa e, particularmente, é um produto que eu recomendo muito.
Decisão de arquitetura — não mudar o IP
A coisa mais importante para nós ao migrar a VPN foi não mudar o endereço IP exposto para o exterior. O firewall dos clientes inclui o IP da nossa empresa em whitelist, e qualquer mudança seria um pesadelo.
Solução: colocamos o Headscale atrás do NAT Gateway existente. O tráfego que sai via VPN continua passando pelo mesmo NAT Gateway, então o IP de origem não muda.
Um mês de dogfooding
Depois de construir, em vez de migrar a empresa toda de uma vez, fizemos um mês de dogfooding.
Para ser sincero, apareceram bastante problemas. Conexões caíam, o Exit Node ficava instável, alguns dispositivos não reconectavam etc.
Resolvemos cada problema junto com o Claude Code. Ajuste de parâmetros do kernel (ampliação dos buffers UDP, ajuste do timeout do conntrack), montagem de um servidor DERP próprio, padronização do processo de gerenciamento de nós e por aí vai.
Ainda há pendências, mas hoje o ambiente de desenvolvimento opera de forma estável.
Performance
Também verificamos a performance.
- Início: 11-14 Mbps (via DERP relay público)
- Após o DERP próprio: 106-134 Mbps
Está no mesmo patamar ou acima do AWS Client VPN.
Validação no Cost Explorer
Executar a ação não basta: usamos o AWS Cost Explorer para confirmar o efeito. Também é o Claude Code quem consulta isso via CLI.
Por exemplo, a migração para Fargate Spot é difícil de visualizar com os filtros do Cost Explorer. O desconto do Spot fica “diluído” dentro do item Fargate, então é preciso conferir manualmente. Esse tipo de problema — “fiz a ação mas o efeito não aparece” — também resolvemos fazendo o Claude Code investigar a fundo.
Para fechar
A estrutura de custos da era da IA está mudando. Por um lado, surgem custos novos com ferramentas como o Claude Code; por outro, é a própria ferramenta que ajuda a otimizar a conta de infraestrutura.
No nosso caso, o custo da adoção do Claude Code de fato aumentou, mas o próprio Claude Code entregou uma redução na conta da AWS que mais do que compensou. Investir em IA e usar IA para pagar essa conta — esse ciclo começou a girar.
A grande lição deste trabalho foi a importância de “primeiro visualizar tudo”. Investigar 19 contas manualmente não é realista. Foi exatamente porque demos a AWS CLI ao Claude Code e o deixamos fazer uma varredura transversal que conseguimos achar custos como o da VPN, do tipo “estava custando tudo isso?”.
É bem provável que no seu ambiente AWS ainda existam custos com aquele “cheiro” suspeito esperando para serem descobertos.
Neste artigo o foco foi a migração da VPN, mas se houver interesse em alguma das outras iniciativas eu escrevo um post separado. Deixe um comentário com o tema que te interessa.
Masaki Kondo — CEO da Guide Inc. Vietnam https://koedesk.app