Bersihkan AWS Account Factory untuk sumber daya Terraform (AFT) dengan aman setelah file status hilang - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatPraktik terbaikEpikPemecahan MasalahSumber daya terkaitInformasi tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

 Bersihkan AWS Account Factory untuk sumber daya Terraform (AFT) dengan aman setelah file status hilang

Gokendra Malviya, Amazon Web Services

Ringkasan

Saat Anda menggunakan AWS Account Factory for Terraform (AFT) untuk mengelola AWS Control Tower lingkungan Anda, AFT menghasilkan file status Terraform untuk melacak status dan konfigurasi sumber daya yang dibuat oleh Terraform. Kehilangan file status Terraform dapat menciptakan tantangan signifikan untuk manajemen dan pembersihan sumber daya. Pola ini memberikan pendekatan sistematis untuk mengidentifikasi dan menghapus sumber daya terkait AFT dengan aman sambil menjaga integritas lingkungan Anda AWS Control Tower .

Proses ini dirancang untuk memastikan penghapusan yang tepat dari semua komponen AFT, bahkan tanpa referensi file status asli. Proses ini memberikan jalur yang jelas untuk berhasil membangun kembali dan mengkonfigurasi ulang AFT di lingkungan Anda, untuk membantu memastikan gangguan minimal pada operasi Anda. AWS Control Tower

Untuk informasi lebih lanjut tentang AFT, lihat AWS Control Tower dokumentasi.

Prasyarat dan batasan

Prasyarat

  • Pemahaman menyeluruh tentang arsitektur AFT.

  • Akses administrator ke akun berikut:

    • Akun Manajemen AFT

    • AWS Control Tower Akun manajemen

    • Akun Arsip Log

    • Akun audit

  • Verifikasi bahwa tidak ada kebijakan kontrol layanan (SCPs) yang mengandung batasan atau batasan yang akan memblokir penghapusan sumber daya terkait AFT.

Batasan

  • Proses ini dapat membersihkan sumber daya secara efektif, tetapi tidak dapat memulihkan file status yang hilang, dan beberapa sumber daya mungkin memerlukan identifikasi manual.

  • Durasi proses pembersihan tergantung pada kompleksitas lingkungan Anda dan mungkin memakan waktu beberapa jam.

  • Pola ini telah diuji dengan AFT versi 1.12.2 dan menghapus sumber daya berikut. Jika Anda menggunakan versi AFT yang berbeda, Anda mungkin harus menghapus sumber daya tambahan.

    Nama layanan

    Jumlah sumber daya

    AWS CodeBuild

    6

    AWS CodeCommit

    4

    AWS CodePipeline

    4

    Amazon DynamoDB

    5

    Amazon Elastic Compute Cloud (Amazon EC2)

    16

    Amazon EventBridge

    4

    AWS Identity and Access Management Peran (IAM)

    40

    AWS Key Management Service (AWS KMS)

    2

    AWS Lambda

    17

    Amazon Simple Storage Service (Amazon S3)

    2

    Amazon Simple Notification Service (Amazon SNS)

    2

    Amazon Simple Queue Service (Amazon SQS)

    2

    AWS Systems Manager

    62

    AWS Step Functions

    4

penting

Sumber daya yang dihapus oleh langkah-langkah dalam pola ini tidak dapat dipulihkan. Sebelum Anda mengikuti langkah-langkah ini, verifikasi nama sumber daya dengan hati-hati dan pastikan nama tersebut dibuat oleh AFT.

Arsitektur

Diagram berikut menunjukkan komponen AFT dan alur kerja tingkat tinggi. AFT menyiapkan pipeline Terraform yang membantu Anda menyediakan dan menyesuaikan akun Anda. AWS Control Tower AFT mengikuti GitOps model untuk mengotomatiskan proses penyediaan akun di. AWS Control Tower Anda membuat file Terraform untuk permintaan akun dan mengkomitmenkannya ke repositori, yang menyediakan input yang memicu alur kerja AFT untuk penyediaan akun. Setelah penyediaan akun selesai, AFT dapat menjalankan langkah penyesuaian tambahan secara otomatis.

Komponen AFT dan alur kerja tingkat tinggi.

Dalam arsitektur ini:

  • AWS Control Tower Akun manajemen adalah akun Akun AWS yang didedikasikan untuk AWS Control Tower layanan ini. Ini juga biasanya disebut sebagai akun AWS pembayar atau akun AWS Organizations Manajemen.

  • Akun Manajemen AFT adalah akun Akun AWS yang didedikasikan untuk operasi manajemen AFT. Ini berbeda dengan akun manajemen organisasi Anda.

  • Vending account adalah akun Akun AWS yang berisi semua komponen dasar dan kontrol yang Anda pilih. AFT menggunakan AWS Control Tower untuk menjual akun baru.

Untuk informasi tambahan tentang arsitektur ini, lihat Pengantar AFT di AWS Control Tower bengkel.

Alat

Layanan AWS

  • AWS Control Towermembantu Anda mengatur dan mengatur lingkungan AWS multi-akun, mengikuti praktik terbaik preskriptif.

  • AWS Account Factory for Terraform (AFT) menyiapkan pipeline Terraform untuk membantu Anda menyediakan dan menyesuaikan akun dan sumber daya. AWS Control Tower

  • AWS Organizationsmembantu Anda mengelola dan mengatur lingkungan Anda secara terpusat saat Anda tumbuh dan meningkatkan sumber daya Anda AWS . Dengan menggunakan Organizations, Anda dapat membuat akun dan mengalokasikan sumber daya, mengelompokkan akun untuk mengatur alur kerja, menerapkan kebijakan tata kelola, dan menyederhanakan penagihan dengan menggunakan satu metode pembayaran untuk semua akun Anda.

  • AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya. Pola ini membutuhkan peran dan izin IAM.

Alat-alat lainnya

  • Terraform adalah alat infrastruktur sebagai kode (IAc) HashiCorp yang membantu Anda membuat dan mengelola sumber daya cloud dan lokal.

Praktik terbaik

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Hapus sumber daya yang diidentifikasi oleh tag AFT.

  1. Masuk ke akun manajemen AFT dengan izin administrator.

  2. Buka konsol AWS Resource Groups.

  3. Pilih Wilayah tempat AWS Control Tower telah digunakan.

  4. Di panel navigasi, pilih Editor Tag.

  5. Untuk jenis Sumber Daya, pilih Semua jenis sumber daya yang didukung.

  6. Untuk Tag, ketik managed_by sebagai kunci tag dan AFT sebagai nilai tag.

  7. Pilih Cari sumber daya.

    Pencarian ini menampilkan semua sumber daya yang dibuat oleh AFT.

  8. Identifikasi nama sumber daya dan hapus dengan menggunakan konsol layanan yang sesuai. Misalnya, untuk menghapus sumber daya Parameter Store:

    1. Buka konsol AWS Systems Manager.

    2. Di panel navigasi, pilih Penyimpanan Parameter.

    3. Di kotak pencarian, klik untuk menampilkan dropdown, pilih Nama, pilih sama, lalu ketik /aft.

    4. Hapus parameter dalam batch 10. (Ini adalah jumlah maksimum yang dapat Anda hapus secara bersamaan.)

      Untuk AFT versi 1.12.2, akan ada sekitar 62 sumber daya Parameter Store untuk dihapus. Semua nama parameter akan dimulai dengan/aft.

    Namun, tidak semua sumber daya dapat diidentifikasi oleh AWS Resource Groups. Pada langkah-langkah berikut, Anda akan menemukan dan menghapus sumber daya yang tersisa.

Administrator AWS, AWS DevOps, DevOps insinyur

Hapus peran IAM.

  1. Masuk ke akun manajemen AFT dengan izin administrator.

  2. Buka konsol IAM.

  3. Hapus peran ini dalam urutan yang terdaftar (urutannya penting karena dependensi):

    • aft-*

    • AWSAFTAdmin

    • AWSAFTExecution

    • AWSAFTService

    • codebuild_trigger_role

Administrator AWS, AWS DevOps, DevOps insinyur

Hapus brankas AWS Backup cadangan.

  1. Buka konsol AWS Backup.

  2. Temukan brankas cadangan bernamaaws_backup_vault.

  3. Konfirmasikan bahwa vault tidak berisi cadangan aktif apa pun.

  4. Hapusaws_backup_vault.

Administrator AWS, AWS DevOps, DevOps insinyur

Hapus CloudWatch sumber daya Amazon.

  1. Buka konsol CloudWatch .

  2. Hapus sumber daya berikut dalam urutan yang tercantum:

    1. Bus acara: Hapusaws_cloudwatch_event_bus.

    2. Log: Cari awalan AFT dan hapus semua grup log terkait.

    3. Definisi kueri: Hapus kueri berikut:

      • Customization Logs by Account ID

      • Customization Logs by Customization Request ID

Administrator AWS, AWS DevOps, DevOps insinyur

Hapus AWS KMS sumber daya.

  1. Beralih ke Wilayah sekunder, yang berfungsi sebagai backend untuk melacak status status AFT sendiri.

  2. Buka konsol AWS KMS.

  3. Hapus alias bernama AFT.

Administrator AWS, AWS DevOps, DevOps insinyur
TugasDeskripsiKeterampilan yang dibutuhkan

Hapus ember S3.

  1. Masuk ke akun Arsip Log dengan izin administrator.

  2. Buka konsol Amazon S3.

  3. Kosongkan ember berikut:

    • aws-aft-logs-471112509802-us-east-1

    • aws-aft-s3-access-logs-471112509802-us-east-1

    (Ganti 111122223333 dengan ID akun Anda.)

  4. Hapus dua ember.

Administrator AWS, AWS DevOps, DevOps insinyur

Hapus peran IAM.

  1. Buka konsol IAM.

  2. Verifikasi bahwa peran berikut tidak digunakan oleh layanan aktif apa pun:

    • AWSAFTService

    • AWSAFTExecution

  3. Hapus kedua peran tersebut.

Administrator AWS, AWS DevOps, DevOps insinyur
TugasDeskripsiKeterampilan yang dibutuhkan

Hapus peran IAM.

  1. Masuk ke akun Audit dengan izin administrator.

  2. Buka konsol IAM.

  3. Verifikasi bahwa peran berikut tidak digunakan oleh layanan aktif apa pun:

    • AWSAFTService

    • AWSAFTExecution

  4. Hapus kedua peran tersebut.

Administrator AWS, AWS DevOps, DevOps insinyur
TugasDeskripsiKeterampilan yang dibutuhkan

Hapus peran IAM.

  1. Masuk ke akun AWS Control Tower Manajemen dengan izin administrator.

  2. Buka konsol IAM.

  3. Verifikasi bahwa peran berikut tidak digunakan oleh layanan aktif apa pun:

    • AWSAFTService

    • AWSAFTExecution

    • aft-control-tower-events-rule

  4. Hapus ketiga peran tersebut.

Administrator AWS, AWS DevOps, DevOps insinyur

Hapus EventBridge aturan.

  1. Buka EventBridge konsol Amazon.

  2. Di panel navigasi kiri, pilih Aturan.

  3. Temukan dan pilih aturan bernamaaft-capture-ct-events.

  4. Pilih Hapus dan konfirmasikan penghapusan saat diminta.

Administrator AWS, AWS DevOps, DevOps insinyur

Pemecahan Masalah

IsuSolusi

Melepaskan gateway internet tidak berhasil.

Saat menghapus sumber daya yang diidentifikasi oleh tag AFT, jika mengalami masalah ini saat melepaskan atau menghapus gateway internet, pertama-tama Anda harus menghapus titik akhir VPC:

  1. Masuk ke akun Manajemen AFT, lalu buka konsol Amazon VPC.

  2. Di panel navigasi, dalam daftar Filter menurut VPC, pilih VPC bernama. aft-management-vpc

  3. Di panel navigasi, pilih Titik Akhir.

  4. Pilih titik akhir yang terkait dengan VPC aft-management-vpc.

    • Periksa kembali kolom ID VPC sebelum penghapusan untuk menghindari penghapusan titik akhir yang salah.

    • Berhati-hatilah untuk menghapus hanya titik akhir yang terkait dengan VPC AFT.

  5. Pilih Tindakan, Hapus titik akhir VPC.

  6. Di kotak dialog konfirmasi, ketik hapus lalu pilih Hapus.

  7. Tunggu status endpoint berubah menjadi Dihapus.

    Penghapusan mungkin memakan waktu beberapa menit untuk diselesaikan.

Anda tidak dapat menemukan CloudWatch kueri yang ditentukan.

Jika Anda tidak dapat menemukan CloudWatch kueri yang dibuat oleh AFT, ikuti langkah-langkah berikut:

  1. Masuk ke akun Manajemen AFT, lalu buka CloudWatch konsol.

  2. Di panel navigasi, di bawah Log, pilih Wawasan Log.

  3. Di sudut kanan atas, pilih ikon Kueri tersimpan dan sampel.

    Anda sekarang harus dapat melihat kueri AFT. Untuk tangkapan layar, lihat bagian Informasi tambahan.

  4. Pilih kueri berikut, lalu pilih Tindakan, Hapus untuk menghapusnya.

    • Customization Logs by Account ID

    • Customization Logs by Customization Request ID

Sumber daya terkait

Informasi tambahan

Untuk melihat kueri AFT di dasbor Wawasan CloudWatch Log, pilih ikon Kueri tersimpan dan contoh dari sudut kanan atas, seperti yang diilustrasikan pada tangkapan layar berikut:

Mengakses kueri AFT di dasbor Wawasan CloudWatch Log.