使用 Con AWS fig 和 Syst AWS ems Manager 删除未使用的亚马逊 Elastic Block Store (AmazonEBS) 卷 - AWS Prescriptive Guidance
Summary先决条件和限制架构工具操作说明故障排除相关资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Con AWS fig 和 Syst AWS ems Manager 删除未使用的亚马逊 Elastic Block Store (AmazonEBS) 卷

由 Sankar Sangubotla 创作 () AWS

环境:PoC 或试点

技术:安全性、身份、合规性、管理和治理、成本管理

AWS服务:AWSConfig;AWSSystems Manager

Summary

亚马逊弹性区块存储 (AmazonEBS) 卷的生命周期通常独立于其所连接的亚马逊弹性计算云 (AmazonEC2) 实例的生命周期。除非您在启动时选择 “终止时删除” 选项,否则终止EC2实例会分离该EBS卷,但不会将其删除。尤其是在通常启动和终止EC2实例的开发和测试环境中,这可能会导致大量未使用的EBS卷。EBS无论是否正在使用,卷都会在您的 Amazon Web Services (AWS) 账户中累积费用。删除这些卷可以帮助您优化AWS账户成本。此外,删除未使用的EBS卷是一种最佳安全实践,可以防止访问这些卷中任何未使用的、可能很敏感的数据。

AWSConfig 可以帮助您手动或自动修复不合规的资源。此模式描述了如何配置用于删除账户中未使用的 Amazon EBS 卷的 AWS Config 规则和自动修复操作。补救操作是自动化的预定义运行手册,自动化是 S AWS ystems Manager 的一项功能。您可将运行手册配置为在删除卷之前创建快照。

先决条件和限制

先决条件

  • 一个活动的 AWS 账户。

  • AWSIdentity and Access Management (IAM) 权限,用于运行自动化操作AWSConfigRemediation-DeleteUnusedEBSVolume手册,这是 S AWS ystems Manager 的一项功能。有关更多信息,请参阅 AWSConfigRemediation- 中的 IAM“必需权限” DeleteUnused EBSVolume。

  • 一个或多个未使用的 Amazon EBS 卷。

限制

  • 未使用的 Amazon EBS 卷必须处于available状态。

架构

技术堆栈

  • AWSConfig

  • Amazon EBS

  • Systems Manager

  • Systems Manager Automation

目标架构

AWSConfig 会启动 Systems Manager 自动化,删除未使用的EBS卷。

  1. C AWS onfig 规则对EBS卷进行评估。

  2. 该规则返回合规与不合规资源的列表。EBS处于该available状态的卷(未使用的卷)被确定为不合规。

  3. AWSConfig 会自动启动自动化运行手册。

  4. 如已配置,Systems Manager 会在删除未使用的卷前创建快照。

  5. Systems Manager 会删除未使用的EBS卷。

自动化和扩缩

您可以将此解决方案应用至组织中的所有账户。有关更多信息,请参阅 AWS Config 文档中的管理组织中所有账户的规则

工具

  • AWSConfig 提供了您AWS账户中的资源及其配置方式的详细视图。它可以帮助您确定资源之间的关联方式,以及它们的配置如何随时间变化。

  • AWSSystems Manager 可帮助您管理在AWS云中运行的应用程序和基础架构。它简化了应用程序和资源管理,缩短了检测和解决操作问题的时间,并帮助您大规模安全地管理AWS资源。

  • AWSSystems Manager Automation 简化了许多AWS服务的常见维护、部署和补救任务。

操作说明

任务描述所需技能

为自动化运行手册创建角色。

创建名为 AssumeRole 的角色。Systems Manager Automation 使用此角色运行手册。有关说明,请参阅 Systems Manager 文档中的为自动化配置服务角色(担任角色)访问权限

AWS系统管理员

打开 AWS Config 记录器。

按照 Config 文档中使用控制台设置AWSAWS配置中的说明进行操作,确保 AWS Config 正在运行并且已配置为记录 Amazon EBS 卷。

AWS系统管理员

运行规则。

  1. 按照 AWS Config 文档中评估资源中的说明运行ec2-volume-inuse-check规则。等待评估完成。

  2. 规则页面,选择 ec2-volume-inuse-check 规则,然后在范围内资源中选择不合规

  3. 确认评估结果中有一个或多个未使用的 Amazon EBS 卷。

AWS系统管理员
任务描述所需技能

添加自动修复操作。

  1. 在“规则”页面,选择 ec2-volume-inuse-check 规则。

  2. 按照 AWS Config 文档中设置自动修复中的说明进行操作。请注意以下几点:

  3. 修正操作详细信息部分,选择 AWSConfigRemediation-DeleteUnusedEBSVolume

    • 选择 “资源 ID 参数”,然后在列表中选择VolumeId。在运行时,此参数将替换为不合规EBS卷的 ID。

    • 参数部分,为以下参数提供值:

      • CreateSnapshot—(可选)如果设置为true,则自动化会在删除EBS卷之前创建卷的快照。

      • AutomationAssumeRole— 输入您之前创建的AssumeRole服务角色的 Amazon 资源名称 (ARN)。

AWS系统管理员

测试 AWS Config 规则的自动修复。

  1. 在 AWS Config 控制台的 “规则” 页面上,选择ec2-volume-inuse-check规则。

  2. 操作菜单中,选择重新评估

  3. 允许规则评估不合规的资源,然后确认未使用的 Amazon EBS 卷已被删除。

AWS系统管理员

故障排除

问题解决方案

AWSConfig 无法准确反映资源状态。

有时,AWSConfig 不会更新资源的状态。在 Config Settings(AWS配置设置)页面上关闭录音机,然后将其重新打开。记录器捕获资源状态。对于新创建或删除的资源,记录器可能需要一些时间才可反映当前状态。有关EBS卷状态的更多信息,请参阅 Amazon EC2 文档中的卷状态

相关资源