Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Solução de problemas Recursos relacionados

Exclua volumes não utilizados do Amazon EBS usando e AWS ConfigAWS Systems Manager

Criado por Sankar Sangubotla (AWS)

Resumo

O ciclo de vida de um volume do Amazon Elastic Block Store (Amazon EBS) geralmente é independente do ciclo de vida da instância do Amazon Elastic Compute Cloud (Amazon EC2) à qual ele está vinculado. A menos que você selecione a opção Excluir ao encerrar no momento da execução, o encerramento da EC2 instância da Amazon separa o volume do Amazon EBS, mas não o exclui. Especialmente em ambientes de desenvolvimento e teste em que é comum iniciar e encerrar EC2 instâncias da Amazon, isso pode resultar em um grande número de volumes não utilizados do Amazon EBS. Os volumes do Amazon EBS acumulam cobranças em você Conta da AWS, independentemente de estarem sendo usados. A exclusão desses volumes pode ajudá-lo a otimizar os custos do seu Contas da AWS. Além disso, excluir volumes não utilizados do Amazon EBS é uma prática recomendada de segurança para impedir o acesso a quaisquer dados não utilizados e potencialmente confidenciais nesses volumes.

AWS Config pode ajudá-lo a corrigir manualmente ou automaticamente recursos não compatíveis. Esse padrão descreve como configurar uma AWS Config regra e uma ação de remediação automática que exclui volumes não utilizados do Amazon EBS na conta. A ação de remediação é um runbook predefinido para automação, um recurso de. AWS Systems ManagerÉ possível configurar o runbook para criar um snapshot do volume antes de excluí-lo.

Pré-requisitos e limitações

Pré-requisitos

Um ativo Conta da AWS.
AWS Identity and Access Management Permissões (IAM) para executar o AWSConfigRemediation-DeleteUnusedEBSVolume runbook for Automation, um recurso do Systems Manager. Para obter mais informações, consulte Permissões obrigatórias do IAM em AWSConfigRemediation-DeleteUnusedEBSVolume.
Um ou mais volumes do Amazon EBS não utilizados.

Limitações

Os volumes não utilizados do Amazon EBS devem estar no estado available.

Arquitetura

Arquitetura de destino

O AWS Config inicia uma automação do Systems Manager que exclui volumes do EBS não utilizados.

A AWS Config regra avalia os volumes do Amazon EBS.
A regra retorna uma lista de recursos compatíveis e não compatíveis. Os volumes do Amazon EBS que estão no available estado, que são volumes não utilizados, são considerados não compatíveis.
AWS Config inicia automaticamente o runbook de automação.
Se configurado, o Systems Manager cria snapshots dos volumes não utilizados antes de exclui-los.
O Systems Manager exclui os volumes não utilizados do Amazon EBS.

Automação e escala

É possível aplicar essa solução em todas as contas de sua organização. Para obter mais informações, consulte Gerenciamento de regras em todas as contas da sua organização na AWS Config documentação.

Ferramentas

AWS Configfornece uma visão detalhada dos recursos em seu computador Conta da AWS e de como eles estão configurados. Ajuda a identificar como os recursos estão relacionados entre si e como suas configurações foram alteradas ao longo do tempo.
O AWS Systems Manager ajuda você a gerenciar suas aplicações e infraestrutura em execução na Nuvem AWS. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala.
AWS Systems Manager A automação simplifica as tarefas comuns de manutenção, implantação e remediação para muitos. Serviços da AWS

Épicos

Tarefa	Descrição	Habilidades necessárias
Crie uma função para o runbook de automação.	Crie uma função chamada de `AssumeRole`. O Systems Manager Automation usa essa função para executar o runbook. Para obter instruções, consulte Configurar o acesso a um de perfil de serviço (perfil assumido) para automações na documentação do Systems Manager.	Administrador de sistemas AWS
Ligue o AWS Config gravador.	Siga as instruções em Configuração AWS Config com o console na AWS Config documentação para garantir que ele AWS Config esteja em execução e configurado para registrar volumes do Amazon EBS.	Administrador de sistemas AWS
Execute a regra.	Siga as instruções em Avaliação de seus recursos na AWS Config documentação para executar a `ec2-volume-inuse-check` regra. Aguarde a avaliação antes de prosseguir. Na página Regras, selecione a regra `ec2-volume-inuse-check` e em Recursos dentro do escopo, escolha Em não conformidade. Confirme se há um ou mais volumes não utilizados do Amazon EBS nos resultados da avaliação.	Administrador de sistemas AWS

Tarefa	Descrição	Habilidades necessárias
Adicione a ação de correção automática.	Na página Regras, selecione a `ec2-volume-inuse-check` regra. Siga as instruções em Configurando a remediação automática na AWS Config documentação. Observe o seguinte: Na seção Detalhes da ação de correção, escolha `AWSConfigRemediation-DeleteUnusedEBSVolume`. Selecione o parâmetro Resource ID e, na lista, escolha VolumeId. Em tempo de execução, esse parâmetro é substituído pelo ID do volume não compatível do Amazon EBS. Na seção Parâmetros forneça valores para os seguintes parâmetros: `CreateSnapshot`— (Opcional) Se configurada como`true`, a automação cria um snapshot do volume do Amazon EBS antes de ser excluído. `AutomationAssumeRole`: insira o nome do recurso da Amazon (ARN) do perfil de serviço `AssumeRole` criado anteriormente.	Administrador de sistemas AWS
Teste a correção automática da AWS Config regra.	No AWS Config console, na página Regras, selecione a `ec2-volume-inuse-check` regra. No menu Actions (Ações), escolha Re-evaluate (Reavaliar). Permita que a regra avalie os recursos não compatíveis e, em seguida, confirme se os volumes não utilizados do Amazon EBS foram excluídos.	Administrador de sistemas AWS

Solução de problemas

Problema	Solução
AWS Config não reflete com precisão o estado do recurso.	Às vezes, AWS Config não atualiza o estado dos recursos. Desligue o gravador e ligue-o novamente na página AWS Config Configurações. O gravador captura o estado dos recursos. Para recursos recém-criados ou excluídos, pode levar algum tempo para que o gravador reflita o estado atual. Para obter mais informações sobre os estados de volume do Amazon EBS, consulte Estados de volume na documentação do Amazon EBS.

Problema

Solução

AWS Config não reflete com precisão o estado do recurso.

Às vezes, AWS Config não atualiza o estado dos recursos. Desligue o gravador e ligue-o novamente na página AWS Config Configurações. O gravador captura o estado dos recursos. Para recursos recém-criados ou excluídos, pode levar algum tempo para que o gravador reflita o estado atual. Para obter mais informações sobre os estados de volume do Amazon EBS, consulte Estados de volume na documentação do Amazon EBS.

Recursos relacionados

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Crie um relatório das descobertas do Prowler a partir de várias Contas da AWS

Implemente AWS Control Tower controles usando AWS CDK