Bereinigen Sie die Ressourcen von AWS Account Factory for Terraform (AFT) nach dem Verlust von Statusdateien sicher - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenArchitekturToolsBewährte MethodenEpenFehlerbehebungZugehörige RessourcenZusätzliche Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

 Bereinigen Sie die Ressourcen von AWS Account Factory for Terraform (AFT) nach dem Verlust von Statusdateien sicher

Erstellt von Gokendra Malviya (AWS)

Übersicht

Wenn Sie AWS Account Factory for Terraform (AFT) zur Verwaltung Ihrer AWS Control Tower Umgebung verwenden, generiert AFT eine Terraform-Statusdatei, um den Status und die Konfiguration der von Terraform erstellten Ressourcen zu verfolgen. Der Verlust der Terraform-Statusdatei kann zu erheblichen Herausforderungen für das Ressourcenmanagement und die Bereinigung führen. Dieses Muster bietet einen systematischen Ansatz zur sicheren Identifizierung und Entfernung von AFT-bezogenen Ressourcen bei gleichzeitiger Wahrung der Integrität Ihrer Umgebung. AWS Control Tower

Das Verfahren ist so konzipiert, dass sichergestellt ist, dass alle AFT-Komponenten ordnungsgemäß entfernt werden, auch wenn der ursprüngliche Verweis auf die Statusdatei nicht vorhanden ist. Dieser Prozess bietet einen klaren Weg zur erfolgreichen Wiederherstellung und Neukonfiguration von AFT in Ihrer Umgebung, um sicherzustellen, dass Ihr AWS Control Tower Betrieb nur minimal unterbrochen wird.

Weitere Informationen zu AFT finden Sie in der AWS Control Tower Dokumentation.

Voraussetzungen und Einschränkungen

Voraussetzungen

  • Ein gründliches Verständnis der AFT-Architektur.

  • Administratorzugriff auf die folgenden Konten:

    • AFT-Verwaltungskonto

    • AWS Control Tower Verwaltungskonto

    • Konto protokollieren und archivieren

    • Prüfungskonto

  • Überprüfung, dass keine Dienststeuerungsrichtlinien (SCPs) Einschränkungen oder Beschränkungen enthalten, die das Löschen von AFT-bezogenen Ressourcen verhindern würden.

Einschränkungen

  • Durch diesen Vorgang können Ressourcen effektiv bereinigt werden, verloren gegangene Statusdateien können jedoch nicht wiederhergestellt werden, und einige Ressourcen müssen möglicherweise manuell identifiziert werden.

  • Die Dauer des Bereinigungsvorgangs hängt von der Komplexität Ihrer Umgebung ab und kann mehrere Stunden dauern.

  • Dieses Muster wurde mit AFT Version 1.12.2 getestet und löscht die folgenden Ressourcen. Wenn Sie eine andere Version von AFT verwenden, müssen Sie möglicherweise zusätzliche Ressourcen löschen.

    Name des Dienstes

    Anzahl der Ressourcen

    AWS CodeBuild

    6

    AWS CodeCommit

    4

    AWS CodePipeline

    4

    Amazon-DynamoDB

    5

    Amazon Elastic Compute Cloud (Amazon EC2)

    16

    Amazon EventBridge

    4

    AWS Identity and Access Management (IAM) -Rollen

    40

    AWS Key Management Service (AWS KMS)

    2

    AWS Lambda

    17

    Amazon Simple Storage Service (Amazon-S3)

    2

    Amazon-Simple-Notification-Service (Amazon-SNS)

    2

    Amazon-Simple-Queue-Service (Amazon SQS)

    2

    AWS Systems Manager

    62

    AWS Step Functions

    4

Wichtig

Die Ressourcen, die durch die Schritte in diesem Muster gelöscht werden, können nicht wiederhergestellt werden. Bevor Sie diese Schritte ausführen, überprüfen Sie die Ressourcennamen sorgfältig und stellen Sie sicher, dass sie von AFT erstellt wurden.

Architektur

Das folgende Diagramm zeigt die AFT-Komponenten und den Arbeitsablauf auf hoher Ebene. AFT richtet eine Terraform-Pipeline ein, mit der Sie Ihre Konten bereitstellen und anpassen können. AWS Control Tower AFT folgt einem GitOps Modell zur Automatisierung der Prozesse der Kontobereitstellung in. AWS Control Tower Sie erstellen eine Terraform-Datei für eine Kontoanfrage und übertragen sie in ein Repository, das die Eingabe bereitstellt, die den AFT-Workflow für die Kontobereitstellung auslöst. Nach Abschluss der Kontobereitstellung kann AFT weitere Anpassungsschritte automatisch ausführen.

AFT-Komponenten und Arbeitsablauf auf hoher Ebene.

In dieser Architektur:

  • AWS Control Tower Das Verwaltungskonto ist ein Konto AWS-Konto , das dem AWS Control Tower Dienst gewidmet ist. Dies wird in der Regel auch als AWS Zahlerkonto oder AWS Organizations Verwaltungskonto bezeichnet.

  • Das AFT-Verwaltungskonto AWS-Konto ist für AFT-Verwaltungsvorgänge vorgesehen. Dies unterscheidet sich vom Verwaltungskonto Ihrer Organisation.

  • Ein Verkäuferkonto ist ein Konto AWS-Konto , das alle von Ihnen ausgewählten Basiskomponenten und Steuerelemente enthält. AFT wird verwendet AWS Control Tower , um ein neues Konto zu verkaufen.

Weitere Informationen zu dieser Architektur finden Sie im AWS Control Tower Workshop unter Einführung in AFT.

Tools

AWS-Services

  • AWS Control Towerhilft Ihnen bei der Einrichtung und Verwaltung einer Umgebung AWS mit mehreren Konten und folgt dabei den vorgeschriebenen Best Practices.

  • AWS Account Factory for Terraform (AFT) richtet eine Terraform-Pipeline ein, mit der Sie Konten und Ressourcen bereitstellen und anpassen können. AWS Control Tower

  • AWS Organizationshilft Ihnen dabei, Ihre Umgebung zentral zu verwalten und zu steuern, während Sie Ihre Ressourcen erweitern und skalieren. AWS Mithilfe von Organizations können Sie Konten erstellen und Ressourcen zuweisen, Konten gruppieren, um Ihre Workflows zu organisieren, Richtlinien für die Unternehmensführung anwenden und die Abrechnung vereinfachen, indem Sie eine einzige Zahlungsmethode für alle Ihre Konten verwenden.

  • AWS Identity and Access Management (IAM) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem es kontrolliert, wer authentifiziert und zu deren Nutzung autorisiert ist. Für dieses Muster sind IAM-Rollen und -Berechtigungen erforderlich.

Andere Tools

  • Terraform ist ein IaC-Tool (Infrastructure as Code) HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können.

Bewährte Methoden

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Löschen Sie Ressourcen, die durch das AFT-Tag identifiziert werden.

  1. Melden Sie sich mit Administratorrechten beim AFT-Verwaltungskonto an.

  2. Öffnen Sie die AWS Resource Groups -Konsole.

  3. Wählen Sie die Region aus, in der der Einsatz durchgeführt AWS Control Tower wurde.

  4. Wählen Sie im Navigationsbereich Tag Editor aus.

  5. Wählen Sie für Ressourcentypen die Option Alle unterstützten Ressourcentypen aus.

  6. Geben Sie für Tags managed_by als Tag-Schlüssel und AFT als Tag-Wert ein.

  7. Wählen Sie Ressourcen durchsuchen aus.

    Bei dieser Suche werden alle Ressourcen angezeigt, die von AFT erstellt wurden.

  8. Identifizieren Sie die Ressourcennamen und löschen Sie sie mithilfe der entsprechenden Servicekonsolen. Um beispielsweise Parameter Store-Ressourcen zu löschen:

    1. Öffnen Sie die AWS Systems Manager -Konsole.

    2. Wählen Sie im Navigationsbereich Parameter Store (Parameterspeicher) aus.

    3. Klicken Sie im Suchfeld, um die Dropdownliste anzuzeigen, wählen Sie Name, wählen Sie ist gleich und geben Sie dann /aft ein.

    4. Löschen Sie die Parameter in Stapeln von 10 Stück. (Dies ist die maximale Anzahl, die Sie gleichzeitig löschen können.)

      Für AFT Version 1.12.2 müssen ungefähr 62 Parameter Store-Ressourcen gelöscht werden. Alle Parameternamen beginnen mit /aft.

    Es können jedoch nicht alle Ressourcen durch AWS Resource Groups identifiziert werden. In den folgenden Schritten werden Sie die verbleibenden Ressourcen finden und löschen.

AWS-Administrator, AWS DevOps, DevOps Ingenieur

Löschen Sie IAM-Rollen.

  1. Melden Sie sich mit Administratorrechten beim AFT-Verwaltungskonto an.

  2. Öffnen Sie die IAM-Konsole.

  3. Löschen Sie diese Rollen in der angegebenen Reihenfolge (die Reihenfolge ist aufgrund der Abhängigkeiten wichtig):

    • aft-*

    • AWSAFTAdmin

    • AWSAFTExecution

    • AWSAFTService

    • codebuild_trigger_role

AWS-Administrator, AWS DevOps, DevOps Ingenieur

Löschen Sie den AWS Backup Backup-Tresor.

  1. Öffnen Sie die AWS Backup -Konsole.

  2. Suchen Sie den Backup-Tresor mit dem Namenaws_backup_vault.

  3. Vergewissern Sie sich, dass der Tresor keine aktiven Backups enthält.

  4. Löschenaws_backup_vault.

AWS-Administrator, AWS DevOps, DevOps Ingenieur

Löschen Sie CloudWatch Amazon-Ressourcen.

  1. Öffnen Sie die CloudWatch -Konsole.

  2. Löschen Sie die folgenden Ressourcen in der angegebenen Reihenfolge:

    1. Event-Bus: Löschenaws_cloudwatch_event_bus.

    2. Protokolle: Suchen Sie nach dem Präfix AFT und löschen Sie alle zugehörigen Protokollgruppen.

    3. Abfragedefinitionen: Löschen Sie die folgenden Abfragen:

      • Customization Logs by Account ID

      • Customization Logs by Customization Request ID

AWS-Administrator, AWS DevOps, DevOps Ingenieur

AWS KMS Ressourcen löschen.

  1. Wechseln Sie zur sekundären Region, die als Backend für die Statusverfolgung des eigenen Zustands von AFT dient.

  2. Öffnen Sie die AWS KMS -Konsole.

  3. Löschen Sie den Alias AFT.

AWS-Administrator, AWS DevOps, DevOps Ingenieur
AufgabeBeschreibungErforderliche Fähigkeiten

Löschen Sie S3-Buckets.

  1. Melden Sie sich mit Administratorrechten beim Log Archive-Konto an.

  2. Öffnen Sie die Amazon S3-Konsole.

  3. Leeren Sie die folgenden Buckets:

    • aws-aft-logs-471112509802-us-east-1

    • aws-aft-s3-access-logs-471112509802-us-east-1

    (Ersetzen Sie es 111122223333 durch Ihre Konto-ID.)

  4. Löschen Sie die beiden Buckets.

AWS-Administrator, AWS DevOps, DevOps Ingenieur

Löschen Sie IAM-Rollen.

  1. Öffnen Sie die IAM-Konsole.

  2. Stellen Sie sicher, dass die folgenden Rollen von keinem aktiven Dienst verwendet werden:

    • AWSAFTService

    • AWSAFTExecution

  3. Löschen Sie die beiden Rollen.

AWS-Administrator, AWS DevOps, DevOps Ingenieur
AufgabeBeschreibungErforderliche Fähigkeiten

Löschen Sie IAM-Rollen.

  1. Melden Sie sich mit Administratorrechten beim Audit-Konto an.

  2. Öffnen Sie die IAM-Konsole.

  3. Stellen Sie sicher, dass die folgenden Rollen von keinem aktiven Dienst verwendet werden:

    • AWSAFTService

    • AWSAFTExecution

  4. Löschen Sie die beiden Rollen.

AWS-Administrator, AWS DevOps, DevOps Ingenieur
AufgabeBeschreibungErforderliche Fähigkeiten

Löschen Sie IAM-Rollen.

  1. Melden Sie sich mit Administratorrechten beim AWS Control Tower Verwaltungskonto an.

  2. Öffnen Sie die IAM-Konsole.

  3. Stellen Sie sicher, dass die folgenden Rollen von keinem aktiven Dienst verwendet werden:

    • AWSAFTService

    • AWSAFTExecution

    • aft-control-tower-events-rule

  4. Löschen Sie die drei Rollen.

AWS-Administrator, AWS DevOps, DevOps Ingenieur

EventBridge Regeln löschen.

  1. Öffnen Sie die EventBridge Amazon-Konsole.

  2. Wählen Sie im linken Navigationsbereich Rules (Regeln) aus.

  3. Suchen Sie die genannte Regel und wählen Sie sie ausaft-capture-ct-events.

  4. Wählen Sie Löschen und bestätigen Sie den Löschvorgang, wenn Sie dazu aufgefordert werden.

AWS-Administrator, AWS DevOps, DevOps Ingenieur

Fehlerbehebung

ProblemLösung

Das Trennen des Internet-Gateways war nicht erfolgreich.

Wenn Sie Ressourcen löschen, die durch das AFT-Tag identifiziert wurden, und dieses Problem beim Trennen oder Löschen des Internet-Gateways auftritt, müssen Sie zuerst VPC-Endpunkte löschen:

  1. Melden Sie sich beim AFT-Management-Konto an und öffnen Sie dann die Amazon VPC-Konsole.

  2. Wählen Sie im Navigationsbereich in der Liste Nach VPC filtern die benannte VPC aus. aft-management-vpc

  3. Wählen Sie im Navigationsbereich Endpunkte aus.

  4. Wählen Sie die Endpoints aus, die der aft-management-vpcVPC zugeordnet sind.

    • Überprüfen Sie vor dem Löschen noch einmal die VPC-ID-Spalte, um zu vermeiden, dass die falschen Endpoints entfernt werden.

    • Achten Sie darauf, nur die Endpoints zu löschen, die der AFT-VPC zugeordnet sind.

  5. Wählen Sie Actions (Aktionen), Delete VPC Endpoint (VPC-Endpunkte löschen).

  6. Geben Sie im Bestätigungsdialogfeld Löschen ein und wählen Sie dann Löschen aus.

  7. Warten Sie, bis sich der Endpunktstatus auf Gelöscht ändert.

    Der Löschvorgang kann einige Minuten dauern.

Sie können die angegebenen CloudWatch Abfragen nicht finden.

Wenn Sie die von AFT erstellten CloudWatch Abfragen nicht finden können, gehen Sie wie folgt vor:

  1. Melden Sie sich beim AFT-Management-Konto an und öffnen Sie dann die CloudWatch Konsole.

  2. Wählen Sie im Navigationsbereich unter Logs die Option Logs Insights aus.

  3. Wählen Sie in der oberen rechten Ecke das Symbol Gespeicherte Abfragen und Beispielabfragen aus.

    Sie sollten jetzt AFT-Abfragen sehen können. Einen Screenshot finden Sie im Abschnitt Zusätzliche Informationen.

  4. Wählen Sie die folgenden Abfragen aus und wählen Sie dann Aktionen, Löschen, um sie zu entfernen.

    • Customization Logs by Account ID

    • Customization Logs by Customization Request ID

Zugehörige Ressourcen

Zusätzliche Informationen

Um AFT-Abfragen im CloudWatch Logs Insights-Dashboard anzuzeigen, wählen Sie in der oberen rechten Ecke das Symbol Gespeicherte Abfragen und Beispielabfragen aus, wie im folgenden Screenshot dargestellt:

Greifen Sie im CloudWatch Logs Insights-Dashboard auf AFT-Abfragen zu.