Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risoluzione dei problemi Risorse correlate

Elimina i volumi Amazon Elastic Block Store (AmazonEBS) non utilizzati utilizzando AWS Config and Systems Manager AWS

Creato da Sankar Sangubotla () AWS

Ambiente: PoC o pilota

Tecnologie: sicurezza, identità, conformità; gestione e governance; gestione dei costi

AWSservizi: AWS Config; AWS Systems Manager

Riepilogo

Il ciclo di vita di un volume Amazon Elastic Block Store EBS (Amazon) è in genere indipendente dal ciclo di vita dell'istanza Amazon Elastic Compute Cloud (EC2Amazon) a cui è collegato. A meno che non si selezioni l'opzione Delete on Termination al momento dell'avvio, la chiusura dell'EC2istanza scollega il volume ma non lo elimina. EBS Soprattutto negli ambienti di sviluppo e test in cui è comune avviare e terminare EC2 le istanze, ciò può comportare un gran numero di volumi inutilizzati. EBS EBSi volumi vengono addebitati sul tuo account Amazon Web Services (AWS), indipendentemente dal fatto che vengano utilizzati. L'eliminazione di questi volumi può aiutarti a ottimizzare i costi per i tuoi AWS account. Inoltre, l'eliminazione EBS dei volumi non utilizzati è una procedura consigliata in materia di sicurezza per impedire l'accesso ai dati inutilizzati e potenzialmente sensibili contenuti in tali volumi.

AWSConfig può aiutarti a correggere manualmente o automaticamente le risorse non conformi. Questo modello descrive come configurare una regola di AWS Config e un'azione di riparazione automatica che elimini i volumi EBS Amazon non utilizzati nell'account. L'azione di riparazione è un runbook predefinito per Automation, una funzionalità di Systems ManagerAWS. È possibile configurare il runbook per creare un'istantanea del volume prima di eliminarlo.

Prerequisiti e limitazioni

Prerequisiti

Un account AWS attivo.
AWSAutorizzazioni Identity and Access Management (IAM) per eseguire il AWSConfigRemediation-DeleteUnusedEBSVolume runbook for Automation, una funzionalità di AWS Systems Manager. Per ulteriori informazioni, vedere IAMAutorizzazioni richieste in -. AWSConfigRemediation DeleteUnused EBSVolume
Uno o più EBS volumi Amazon inutilizzati.

Limitazioni

I EBS volumi Amazon non utilizzati devono trovarsi nello available stato.

Architettura

Stack tecnologico

AWSConfig
Amazon EBS
Systems Manager
Systems Manager Automation

Architettura Target

AWSConfig avvia un'automazione di Systems Manager che elimina i volumi inutilizzati. EBS

La regola AWS Config valuta i volumi. EBS
La regola restituisce un elenco di risorse conformi e non conformi. EBSi volumi che si trovano nello available stato, che sono volumi non utilizzati, vengono considerati non conformi.
AWSConfig avvia automaticamente il runbook di automazione.
Se configurato, Systems Manager crea istantanee dei volumi inutilizzati prima di eliminarli.
Systems Manager elimina i volumi non utilizzatiEBS.

Automazione e scalabilità

Puoi applicare questa soluzione a tutti gli account della tua organizzazione. Per ulteriori informazioni, consulta Gestire le regole per tutti gli account dell'organizzazione nella documentazione di AWS Config.

Strumenti

AWSConfig fornisce una visualizzazione dettagliata delle risorse del tuo AWS account e di come sono configurate. Ti aiuta a identificare in che modo le risorse sono correlate tra loro e in che modo le loro configurazioni sono cambiate nel tempo.
AWSSystems Manager ti aiuta a gestire le applicazioni e l'infrastruttura in esecuzione nel AWS cloud. Semplifica la gestione delle applicazioni e delle risorse, riduce i tempi di rilevamento e risoluzione dei problemi operativi e aiuta a gestire le AWS risorse in modo sicuro su larga scala.
AWSSystems Manager Automation semplifica le attività comuni di manutenzione, implementazione e riparazione per molti AWS servizi.

Epiche

Attività	Descrizione	Competenze richieste
Crea un ruolo per il runbook di automazione.	Crea un ruolo chiamato`AssumeRole`. Systems Manager Automation utilizza questo ruolo per eseguire il runbook. Per istruzioni, vedere Configurazione dell'accesso al ruolo di servizio (assumi ruolo) per le automazioni nella documentazione di Systems Manager.	AWSamministratore di sistema
Accendi il AWS registratore Config.	Segui le istruzioni in Configurazione della AWS configurazione con la console nella documentazione di AWS Config per assicurarti che AWS Config sia in esecuzione e configurato per registrare volumi Amazon. EBS	AWSamministratore di sistema
Esegui la regola.	Segui le istruzioni in Valutazione delle risorse nella documentazione di AWS Config per eseguire `ec2-volume-inuse-check` la regola. Attendi il completamento della valutazione. Nella pagina Regole, seleziona la `ec2-volume-inuse-check` regola, quindi per Risorse nell'ambito, scegli Non conforme. Verifica che nei risultati della valutazione siano presenti uno o più EBS volumi Amazon inutilizzati.	AWSamministratore di sistema

Attività	Descrizione	Competenze richieste
Aggiungi l'azione di riparazione automatica.	Nella pagina Regole, seleziona la `ec2-volume-inuse-check` regola. Segui le istruzioni in Configurazione della riparazione automatica nella documentazione di AWS Config. Tieni presente quanto segue: Nella sezione Dettagli dell'azione di riparazione, scegli. `AWSConfigRemediation-DeleteUnusedEBSVolume` Seleziona il parametro Resource ID, quindi nell'elenco scegli VolumeId. In fase di esecuzione, questo parametro viene sostituito con l'ID del volume non EBS conforme. Nella sezione Parametri, fornite i valori per i seguenti parametri: `CreateSnapshot`— (Facoltativo) Se impostata su`true`, l'automazione crea un'istantanea del EBS volume prima che venga eliminato. `AutomationAssumeRole`— Inserisci l'Amazon Resource Name (ARN) del ruolo di `AssumeRole` servizio che hai creato in precedenza.	AWSamministratore di sistema
Prova la riparazione automatica per la regola AWS Config.	Nella AWS Config Console, nella pagina Regole, seleziona la `ec2-volume-inuse-check` regola. Nel menu Azioni, scegli Rivaluta. Consenti alla regola di valutare le risorse non conformi, quindi conferma che i volumi Amazon EBS non utilizzati vengano eliminati.	AWSamministratore di sistema

Risoluzione dei problemi

Problema	Soluzione
AWSConfig non riflette accuratamente lo stato delle risorse.	A volte, AWS Config non aggiorna lo stato delle risorse. Spegni il registratore e riaccendilo nella pagina AWS Config Settings. Il registratore registra lo stato delle risorse. Per le risorse appena create o eliminate, potrebbe essere necessario del tempo prima che il registratore rifletta lo stato corrente. Per ulteriori informazioni sugli stati EBS del volume, consulta Volume state nella EC2 documentazione di Amazon.

Problema

Soluzione

AWSConfig non riflette accuratamente lo stato delle risorse.

A volte, AWS Config non aggiorna lo stato delle risorse. Spegni il registratore e riaccendilo nella pagina AWS Config Settings. Il registratore registra lo stato delle risorse. Per le risorse appena create o eliminate, potrebbe essere necessario del tempo prima che il registratore rifletta lo stato corrente. Per ulteriori informazioni sugli stati EBS del volume, consulta Volume state nella EC2 documentazione di Amazon.

Risorse correlate

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crea un rapporto sui risultati di Prowler partendo da più Account AWS

Implementa i controlli AWS Control Tower utilizzando AWS CDK