Exclua volumes do Amazon Elastic Block Store (Amazon EBS) não utilizados usando o AWS Config e o AWS Systems Manager - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasÉpicosSolução de problemasRecursos relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exclua volumes do Amazon Elastic Block Store (Amazon EBS) não utilizados usando o AWS Config e o AWS Systems Manager

Criado por Sankar Sangubotla (AWS)

Ambiente: PoC ou piloto

Tecnologias: segurança, identidade, conformidade; Gestão e governança; Gestão de custos

Serviços da AWS: AWS Config; AWS Systems Manager

Resumo

O ciclo de vida de um volume do Amazon Elastic Block Store (Amazon EBS) geralmente é independente do ciclo de vida da instância do Amazon Elastic Compute Cloud (Amazon EC2) à qual ele está anexado. A menos que você selecione a opção Excluir ao encerrar no momento da execução, o encerramento da instância EC2 separa o volume do EBS, mas não o exclui. Especialmente em ambientes de desenvolvimento e teste em que é comum iniciar e encerrar instâncias do EC2, isso pode resultar em um grande número de volumes do EBS não utilizados. Os volumes do EBS acumulam cobranças em sua conta da Amazon Web Services (AWS), independentemente de estarem sendo usados ou não. A exclusão desses volumes pode ajudar você a otimizar os custos de suas contas da AWS. Além disso, excluir volumes não utilizados do EBS é uma prática recomendada de segurança para impedir o acesso a dados não utilizados e potencialmente confidenciais nesses volumes.

O AWS Config pode ajudar você a corrigir, manual ou automaticamente, recursos não compatíveis. Esse padrão descreve como configurar uma regra do AWS Config e uma ação de correção automática que exclui volumes não utilizados do Amazon EBS na conta. A ação de correção é um runbook predefinido para automação, um recurso do AWS Systems Manager. É possível configurar o runbook para criar um snapshot do volume antes de excluí-lo.

Pré-requisitos e limitações

Pré-requisitos

  • Uma conta AWS ativa

  • AWS Identity and Access Management (IAM) para executar o runbook AWSConfigRemediation-DeleteUnusedEBSVolume para Automação, um recurso do AWS Systems Manager. Para obter mais informações, consulte Permissões obrigatórias do IAM em AWSConfigRemediation- DeleteUnused EbsVolume.

  • Um ou mais volumes do Amazon EBS não utilizados.

Limitações

  • Os volumes não utilizados do Amazon EBS devem estar no estado available.

Arquitetura

Pilha de tecnologia

  • AWS Config

  • Amazon EBS

  • Systems Manager

  • Automação do Systems Manager

Arquitetura de destino

O AWS Config inicia uma automação do Systems Manager que exclui volumes do EBS não utilizados.

  1. A regra do AWS Config avalia os volumes do EBS.

  2. A regra retorna uma lista de recursos compatíveis e não compatíveis. Os volumes do EBS que estão no estado available, que são volumes não utilizados, são considerados não compatíveis.

  3. O AWS Config inicia automaticamente o runbook de automação.

  4. Se configurado, o Systems Manager cria snapshots dos volumes não utilizados antes de exclui-los.

  5. O Systems Manager exclui os volumes do EBS não utilizados.

Automação e escala

É possível aplicar essa solução em todas as contas de sua organização. Para obter mais informações, consulte Gerenciar regras em todas as contas da sua organização na documentação do AWS Config.

Ferramentas

  • O AWS Config oferece uma visualização de detalhes dos recursos na sua conta da AWS e como eles estão configurados. Ele ajuda você a identificar como os recursos estão relacionados entre si e como suas configurações mudaram ao longo do tempo.

  • O AWS Systems Manager ajuda você a gerenciar seus aplicativos e infraestrutura em execução na nuvem AWS. Isso simplifica o gerenciamento de aplicações e recursos, diminui o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus recursos da AWS de modo seguro e em grande escala.

  • AWS Systems Manager Automation simplifica tarefas comuns de manutenção, implantação e correção para muitos serviços da AWS.

Épicos

TarefaDescriçãoHabilidades necessárias

Crie uma função para o runbook de automação.

Crie uma função chamada de AssumeRole. O Systems Manager Automation usa essa função para executar o runbook. Para obter instruções, consulte Configurar o acesso a um de perfil de serviço (perfil assumido) para automações na documentação do Systems Manager.

Administrador de sistemas AWS

Ative o gravador do AWS Config.

Siga as instruções em Configurar o AWS Config com o console na documentação do AWS Config para garantir que o AWS Config esteja em execução e configurado para registrar volumes do Amazon EBS.

Administrador de sistemas AWS

Execute a regra.

  1. Siga as instruções em Avaliação de seus recursos na documentação do AWS Config para executar a regra ec2-volume-inuse-check. Aguarde a avaliação antes de prosseguir.

  2. Na página Regras, selecione a regra ec2-volume-inuse-check e em Recursos dentro do escopo, escolha Em não conformidade.

  3. Confirme se há um ou mais volumes não utilizados do Amazon EBS nos resultados da avaliação.

Administrador de sistemas AWS
TarefaDescriçãoHabilidades necessárias

Adicione a ação de correção automática.

  1. Na página Regras, selecione a regra ec2-volume-inuse-check.

  2. Siga as instruções em Como configurar a correção automática na documentação do AWS Config. Observe o seguinte:

  3. Na seção Detalhes da ação de correção, escolha AWSConfigRemediation-DeleteUnusedEBSVolume.

    • Selecione o parâmetro Resource ID e, na lista, escolha VolumeId. Em runtime, esse parâmetro é substituído pelo ID do volume do EBS não compatível.

    • Na seção Parâmetros forneça valores para os seguintes parâmetros:

      • CreateSnapshot – (Opcional) Se definida como true, a automação cria um snapshot do volume do EBS antes de ser excluído.

      • AutomationAssumeRole – Insira o nome do recurso da Amazon (ARN) do perfil de serviço AssumeRole criado anteriormente.

Administrador de sistemas AWS

Teste a correção automática para a regra do AWS Config.

  1. No console do AWS Config, na página Regras, selecione a regra ec2-volume-inuse-check.

  2. No menu Actions (Ações), escolha Re–evaluate (Reavaliar).

  3. Permita que a regra avalie os recursos não compatíveis e, em seguida, confirme se os volumes não utilizados do Amazon EBS foram excluídos.

Administrador de sistemas AWS

Solução de problemas

ProblemaSolução

O AWS Config não reflete com precisão o estado do recurso.

Às vezes, o AWS Config não atualiza o estado dos recursos. Desligue o gravador e ligue-o novamente na página Configurações do AWS Config. O gravador captura o estado dos recursos. Para recursos recém-criados ou excluídos, pode levar algum tempo para que o gravador reflita o estado atual. Para obter mais informações sobre os estados de volume do EBS, consulte Estado de volumes na documentação do EC2.

Recursos relacionados