Eliminar volúmenes de Amazon Elastic Block Store (Amazon EBS) no utilizados con AWS Config y AWS Systems Manager - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasEpicsSolución de problemasRecursos relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Eliminar volúmenes de Amazon Elastic Block Store (Amazon EBS) no utilizados con AWS Config y AWS Systems Manager

Documento creado por Sankar Sangubotla (AWS)

Entorno: PoC o piloto

Tecnologías: seguridad, identidad y cumplimiento; administración y gobierno; administración de costos

Servicios de AWS: AWS Config; AWS Systems Manager

Resumen

El ciclo de vida de un volumen de Amazon Elastic Block Store (Amazon EBS) suele ser independiente del ciclo de vida de la instancia de Amazon Elastic Compute Cloud (Amazon EC2) a la que está conectado. A menos que seleccione la opción Delete on Termination (Eliminar al finalizar) en el momento del lanzamiento, cuando finaliza la instancia de EC2 se desconecta el volumen de EBS pero no lo elimina. Especialmente en los entornos de desarrollo y pruebas, en los que es habitual lanzar y finalizar instancias de EC2, esto puede provocar una gran cantidad de volúmenes de EBS sin utilizar. Los volúmenes de EBS acumulan cargos en la cuenta de Amazon Web Services (AWS), independientemente de si se utilizan o no. Eliminar estos volúmenes puede ayudar a optimizar los costos de las cuentas de AWS. Además, eliminar los volúmenes de EBS no utilizados es una práctica recomendada de seguridad para evitar el acceso a los datos no utilizados y potencialmente confidenciales de esos volúmenes.

AWS Config puede ayudar a corregir de forma manual o automática los recursos no conformes. Este patrón describe cómo configurar una regla de AWS Config y una acción correctora automática que elimine los volúmenes de Amazon EBS no utilizados de la cuenta. La acción correctora es un manual de procedimientos predefinido para la automatización, una función de AWS Systems Manager. Puede configurar el manual de procedimientos para crear una instantánea del volumen antes de eliminarlo.

Requisitos previos y limitaciones

Requisitos previos

  • Una cuenta de AWS activa.

  • AWS Identity and Access Management (IAM) permite ejecutar el manual de procedimientos AWSConfigRemediation-DeleteUnusedEBSVolume de AWS Automation, una funcionalidad de AWS Systems Manager. Para obtener más información, consulte Permisos de IAM necesarios en AWSConfigRemediation- DeleteUnused EBSVolume.

  • Uno o más volúmenes de Amazon EBS sin utilizar.

Limitaciones

  • Los volúmenes de Amazon EBS no utilizados deben estar en el estado available.

Arquitectura

Pila de tecnología

  • AWS Config

  • Amazon EBS

  • Systems Manager

  • Automatización de Systems Manager

Arquitectura de destino

AWS Config inicia una automatización de Systems Manager que elimina los volúmenes de EBS no utilizados.

  1. La regla AWS Config evalúa los volúmenes de EBS.

  2. La regla devuelve una lista de recursos conformes y no conformes. Se determina que los volúmenes de EBS que se encuentran en el estado available, que son volúmenes no utilizados, son no conformes.

  3. AWS Config inicia automáticamente el manual de procedimientos de automatización.

  4. Si está configurado, Systems Manager crea instantáneas de los volúmenes no utilizados antes de eliminarlos.

  5. Systems Manager elimina los volúmenes de EBS no utilizados.

Automatizar y escalar

Puede aplicar esta solución en todas las cuentas de su organización. Para obtener más información, consulte Managing rules across all accounts in your organization (Administrar las reglas de todas las cuentas de la organización) en la documentación de AWS Config.

Herramientas

  • AWS Config brinda una visión detallada de la configuración de los recursos de AWS y de cómo están configurados. Ayuda a identificar cómo se relacionan los recursos entre sí y cómo han cambiado sus configuraciones a lo largo del tiempo.

  • AWS Systems Manager le permite administrar las aplicaciones y la infraestructura que se ejecutan en la nube de AWS. Systems Manager simplifica la administración de aplicaciones y recursos, reduce el tiempo requerido para detectar y resolver problemas operativos y ayuda a utilizar y administrar los recursos a gran escala.

  • Automatización de AWS Systems Manager simplifica las tareas habituales de mantenimiento, implementación y corrección de muchos servicios de AWS.

Epics

TareaDescripciónHabilidades requeridas

Cree un rol para el manual de procedimientos de automatización.

Cree un rol denominado AssumeRole. Systems Manager Automation utiliza este rol para ejecutar el manual de procedimientos. Para obtener instrucciones, consulte Configuring a service role (assume role) access for automations (Configurar el acceso de un rol de servicio [rol de asunción] para automatizaciones) en la documentación de Systems Manager.

Administrador de sistemas de AWS

Active la grabadora AWS Config.

Siga las instrucciones de Setting Up AWS Config with the Console (Configurar AWS Config con la consola) en la documentación de AWS Config para asegurarse de que AWS Config se esté ejecutando y de que esté configurado para registrar los volúmenes de Amazon EBS.

Administrador de sistemas de AWS

Ejecute la regla.

  1. Siga las instrucciones de Evaluating your resources (Evaluar los recursos) en la documentación de AWS Config para ejecutar la regla ec2-volume-inuse-check. Espere a que finalice la evaluación.

  2. En la página Rules (Reglas), seleccione la regla ec2-volume-inuse-check y, a continuación, en Resources in scope (Recursos incluidos en el ámbito de aplicación), seleccione Noncompliant (No conformes).

  3. Confirme que haya uno o más volúmenes de Amazon EBS sin utilizar en los resultados de la evaluación.

Administrador de sistemas de AWS
TareaDescripciónHabilidades requeridas

Agregue la acción correctora automática.

  1. En la página Rules (Reglas), seleccione la regla ec2-volume-inuse-check.

  2. Siga las instrucciones de Setting up automatic remediation (Configurar la corrección automática) en la documentación de AWS Config. Tenga en cuenta lo siguiente:

  3. En la sección Remediation action details (Detalles de la acción correctora), seleccione AWSConfigRemediation-DeleteUnusedEBSVolume.

    • Seleccione el parámetro ID de recurso y, a continuación, en la lista, elija. VolumeId En tiempo de ejecución, este parámetro se sustituye por el ID del volumen de EBS no compatible.

    • En la sección Parameters, proporcione valores para los parámetros siguientes:

      • CreateSnapshot: (Opcional) Si se establece en true, la automatización crea una instantánea del volumen de EBS antes de eliminarlo.

      • AutomationAssumeRole: Especifique el nombre de recurso de Amazon (ARN) del rol de servicio AssumeRole que creó anteriormente.

Administrador de sistemas de AWS

Pruebe la corrección automática para la regla de AWS Config.

  1. En la consola de AWS Config, en la página Rules (Reglas), seleccione la regla ec2-volume-inuse-check.

  2. En el menú Actions (Acciones), seleccione Re-evaluate (Volver a evaluar).

  3. Permita que la regla evalúe los recursos no conformes y, a continuación, confirme que se eliminen los volúmenes de Amazon EBS no utilizados.

Administrador de sistemas de AWS

Solución de problemas

ProblemaSolución

AWS Config no refleja con precisión el estado de los recursos.

A veces, AWS Config no actualiza el estado de los recursos. Apague la grabadora y vuelva a encenderla en la página Settings de AWS Config. La grabadora captura el estado de los recursos. En el caso de recursos creados o eliminados recientemente, es posible que la grabadora tarde algún tiempo en reflejar el estado actual. Para obtener más información sobre los estados del volumen de EBS, consulte Volume state en la documentación de Amazon EC2.

Recursos relacionados