As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Limpe os recursos AWS do Account Factory for Terraform (AFT) com segurança após a perda do arquivo de estado
Criado por Gokendra Malviya (AWS)
Resumo
Quando você usa o AWS Account Factory for Terraform (AFT) para gerenciar seu AWS Control Tower ambiente, o AFT gera um arquivo de estado do Terraform para rastrear o estado e a configuração dos recursos criados pelo Terraform. A perda do arquivo de estado do Terraform pode criar desafios significativos para o gerenciamento e a limpeza de recursos. Esse padrão fornece uma abordagem sistemática para identificar e remover com segurança os recursos relacionados ao AFT, mantendo a integridade do seu AWS Control Tower ambiente.
O processo foi projetado para garantir a remoção adequada de todos os componentes do AFT, mesmo sem a referência do arquivo de estado original. Esse processo fornece um caminho claro para restabelecer e reconfigurar com sucesso o AFT em seu ambiente, para ajudar a garantir o mínimo de interrupção em suas operações. AWS Control Tower
Para obter mais informações sobre o AFT, consulte a AWS Control Tower documentação.
Pré-requisitos e limitações
Pré-requisitos
Uma compreensão completa da arquitetura AFT.
Acesso de administrador às seguintes contas:
Conta de gerenciamento AFT
AWS Control Tower Conta de gerenciamento
Conta do Log Archive
Conta de auditoria
Verificação de que nenhuma política de controle de serviço (SCPs) contém restrições ou limitações que bloqueariam a exclusão de recursos relacionados ao AFT.
Limitações
Esse processo pode limpar recursos de forma eficaz, mas não pode recuperar arquivos de estado perdidos, e alguns recursos podem exigir identificação manual.
A duração do processo de limpeza depende da complexidade do seu ambiente e pode levar várias horas.
Esse padrão foi testado com a versão 1.12.2 do AFT e exclui os seguintes recursos. Se você estiver usando uma versão diferente do AFT, talvez seja necessário excluir recursos adicionais.
Nome do serviço
Número de recursos
AWS CodeBuild
6
AWS CodeCommit
4
AWS CodePipeline
4
Amazon DynamoDB
5
Nuvem de computação elástica da Amazon (Amazon EC2)
16
Amazon EventBridge
4
AWS Identity and Access Management Funções (IAM)
40
AWS Key Management Service (AWS KMS)
2
AWS Lambda
17
Amazon Simple Storage Service (Amazon S3)
2
Amazon Simple Notification Service (Amazon SNS)
2
Amazon Simple Queue Service (Amazon SQS)
2
AWS Systems Manager
62
AWS Step Functions
4
Importante
Os recursos que são excluídos pelas etapas desse padrão não podem ser recuperados. Antes de seguir essas etapas, verifique cuidadosamente os nomes dos recursos e certifique-se de que eles foram criados pelo AFT.
Arquitetura
O diagrama a seguir mostra os componentes do AFT e o fluxo de trabalho de alto nível. O AFT configura um pipeline do Terraform que ajuda você a provisionar e personalizar suas contas em AWS Control Tower. O AFT segue um GitOps modelo para automatizar os processos de provisionamento de contas em. AWS Control Tower Você cria um arquivo Terraform para uma solicitação de conta e o submete em um repositório, que fornece a entrada que aciona o fluxo de trabalho AFT para provisionamento de contas. Depois que o provisionamento da conta for concluído, o AFT poderá executar etapas adicionais de personalização automaticamente.

Nesta arquitetura:
AWS Control Tower A conta de gerenciamento Conta da AWS é dedicada ao AWS Control Tower serviço. Isso também é normalmente chamado de conta do AWS pagador ou conta AWS Organizations de gerenciamento.
A conta de gerenciamento da AFT Conta da AWS é dedicada às operações de gerenciamento da AFT. Isso é diferente da conta de gerenciamento da sua organização.
A conta vendida Conta da AWS contém todos os componentes e controles básicos que você selecionou. A AFT usa AWS Control Tower para vender uma nova conta.
Para obter informações adicionais sobre essa arquitetura, consulte Introdução ao AFT
Ferramentas
Serviços da AWS
AWS Control Towerajuda você a configurar e administrar um ambiente AWS com várias contas, seguindo as melhores práticas prescritivas.
AWS O Account Factory for Terraform (AFT) configura um pipeline do Terraform para ajudá-lo a provisionar e personalizar contas e recursos no. AWS Control Tower
AWS Organizationsajuda você a gerenciar e governar centralmente seu ambiente à medida que você cresce e escala seus AWS recursos. Usando o Organizations, você pode criar contas e alocar recursos, agrupar contas para organizar seus fluxos de trabalho, aplicar políticas de governança e simplificar o faturamento usando um único método de pagamento para todas as suas contas.
AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los. Esse padrão requer funções e permissões do IAM.
Outras ferramentas
O Terraform
é uma ferramenta de infraestrutura como código (IaC) HashiCorp que ajuda você a criar e gerenciar recursos na nuvem e no local.
Práticas recomendadas
Para AWS Control Tower isso, consulte Práticas recomendadas para AWS Control Tower administradores na AWS Control Tower documentação.
Para o IAM, consulte as melhores práticas de segurança na documentação do IAM.
Épicos
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Exclua recursos identificados pela tag AFT. |
| Administrador da AWS, AWS DevOps, DevOps engenheiro |
Exclua as funções do IAM. |
| Administrador da AWS, AWS DevOps, DevOps engenheiro |
Exclua o cofre AWS Backup de backup. |
| Administrador da AWS, AWS DevOps, DevOps engenheiro |
Exclua CloudWatch os recursos da Amazon. |
| Administrador da AWS, AWS DevOps, DevOps engenheiro |
Exclua AWS KMS recursos. |
| Administrador da AWS, AWS DevOps, DevOps engenheiro |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Exclua os buckets do S3. |
| Administrador da AWS, AWS DevOps, DevOps engenheiro |
Exclua as funções do IAM. |
| Administrador da AWS, AWS DevOps, DevOps engenheiro |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Exclua as funções do IAM. |
| Administrador da AWS, AWS DevOps, DevOps engenheiro |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Exclua as funções do IAM. |
| Administrador da AWS, AWS DevOps, DevOps engenheiro |
Exclua EventBridge as regras. |
| Administrador da AWS, AWS DevOps, DevOps engenheiro |
Solução de problemas
Problema | Solução |
---|---|
A desconexão do gateway da Internet não teve êxito. | Ao excluir recursos identificados pela tag AFT, se você encontrar esse problema ao desanexar ou excluir o gateway da Internet, primeiro precisará excluir os VPC endpoints:
|
Você não consegue encontrar as CloudWatch consultas especificadas. | Se você não conseguir encontrar CloudWatch as consultas que foram criadas pelo AFT, siga estas etapas:
|
Recursos relacionados
Mais informações
Para visualizar as consultas AFT no painel do CloudWatch Logs Insights, escolha o ícone de consultas salvas e de amostra no canto superior direito, conforme ilustrado na captura de tela a seguir:
