Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Limpie los recursos de AWS Account Factory for Terraform (AFT) de forma segura después de la pérdida de archivos estatales
*Gokendra Malviya, Amazon Web Services*
## Resumen
Cuando usa AWS Account Factory for Terraform (AFT) para administrar su AWS Control Tower entorno, AFT genera un archivo de estado de Terraform para rastrear el estado y la configuración de los recursos creados por Terraform. La pérdida del archivo de estado de Terraform puede suponer importantes desafíos para la administración y limpieza de los recursos. Este patrón proporciona un enfoque sistemático para identificar y eliminar de forma segura los recursos relacionados con la AFT y, al mismo tiempo, mantener la integridad de su entorno. AWS Control Tower
El proceso está diseñado para garantizar la eliminación adecuada de todos los componentes de AFT, incluso sin la referencia del archivo de estado original. Este proceso proporciona un camino claro para restablecer y reconfigurar correctamente la AFT en su entorno, a fin de garantizar una interrupción mínima de sus operaciones. AWS Control Tower
Para obtener más información sobre AFT, consulte la [documentación de AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/taf-account-provisioning.html).
## Requisitos previos y limitaciones
**Requisitos previos **
+ Un conocimiento detallado de la [arquitectura de AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-architecture.html).
+ Acceso de administrador a las siguientes cuentas:
+ Cuenta de administración de AFT
+ AWS Control Tower Cuenta de administración
+ Cuenta del archivo de registro
+ Cuenta de auditoría
+ Verificación de que ninguna política de control de servicios (SCPs) contiene restricciones o limitaciones que puedan bloquear la eliminación de los recursos relacionados con AFT.
**Limitaciones**
+ Este proceso puede limpiar los recursos de forma eficaz, pero no puede recuperar los archivos de estado perdidos, y algunos recursos pueden requerir una identificación manual.
+ La duración del proceso de limpieza depende de la complejidad del entorno y puede tardar varias horas.
+ Este patrón se probó con la versión 1.12.2 de AFT y elimina los siguientes recursos. Si está utilizando una versión diferente de AFT, es posible que deba eliminar recursos adicionales.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html)
**importante**
Los recursos que se eliminan mediante los pasos de este patrón no se pueden recuperar. Antes de seguir estos pasos, compruebe cuidadosamente los nombres de los recursos y asegúrese de que fueron creados por AFT.
## Arquitectura
En el siguiente diagrama se muestran los componentes de AFT y el flujo de trabajo de alto nivel. AFT configura una canalización de Terraform que le ayuda a aprovisionar y personalizar varias cuentas de AWS Control Tower. AFT sigue un GitOps modelo para automatizar los procesos de aprovisionamiento de cuentas en. AWS Control Tower Puede crear un archivo de Terraform para una solicitud de cuenta y confirmarlo en un repositorio, que proporciona la entrada que activa el flujo de trabajo de AFT para el aprovisionamiento de la cuenta. Una vez completado el aprovisionamiento de la cuenta, AFT puede ejecutar automáticamente pasos de personalización adicionales.
![\[Componentes de AFT y flujo de trabajo de alto nivel.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/1342c0a6-4b07-46df-a063-ceab2e2f83c8/images/3e0cae87-20ef-4fcc-aacf-bb450844ac56.png)
En esta arquitectura:
+ **AWS Control Tower La cuenta de administración** es una Cuenta de AWS que está dedicada al AWS Control Tower servicio. Por lo general, también se denomina *cuenta de pagador de AWS * o *cuenta de administración de AWS Organizations *.
+ La **cuenta de administración de AFT** está dedicada a las operaciones de administración de AFT. Cuenta de AWS Es diferente de la cuenta de administración de su organización.
+ La **cuenta vendida** es una Cuenta de AWS que contiene todos los componentes y controles básicos que seleccionó. AFT utiliza AWS Control Tower para vender una cuenta nueva.
Para obtener información adicional sobre esta arquitectura, consulte [Introducción a la AFT](https://catalog.workshops.aws/control-tower/en-US/customization/aft) en el AWS Control Tower taller.
## Tools (Herramientas)
**Servicios de AWS**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)le ayuda a configurar y gobernar un entorno de AWS múltiples cuentas, siguiendo las mejores prácticas prescriptivas.
+ [AWS Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/taf-account-provisioning.html) establece una canalización de Terraform para ayudarlo a aprovisionar y personalizar cuentas y recursos. AWS Control Tower
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)le ayuda a gestionar y gobernar su entorno de forma centralizada a medida que crece y escala sus AWS recursos. Con Organizations, puede crear nuevas cuentas y asignar recursos, agrupar cuentas para organizar sus flujos de trabajo, aplicar políticas con fines de gobernanza y simplificar la facturación mediante un único método de pago para todas sus cuentas.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos. Este patrón requiere roles y permisos de IAM.
**Otras herramientas**
+ [Terraform](https://www.terraform.io/) es una herramienta de infraestructura como código (IaC) HashiCorp que le ayuda a crear y administrar recursos locales y en la nube.
## Prácticas recomendadas
+ Para ello AWS Control Tower, consulte [las prácticas recomendadas para AWS Control Tower administradores](https://docs.aws.amazon.com/controltower/latest/userguide/best-practices.html) en la documentación. AWS Control Tower
+ Para más información de IAM, consulte [Prácticas recomendadas de seguridad](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la documentación de IAM.
## Epics
### Eliminación de los recursos de AFT en la cuenta de administración de AFT
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Elimine los recursos que identifique la etiqueta AFT. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador de AWS DevOps, DevOps ingeniero de AWS |
| Elimine roles de IAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador de AWS DevOps, DevOps ingeniero de AWS |
| Elimine la bóveda AWS Backup de respaldo. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador de AWS DevOps, DevOps ingeniero de AWS |
| Elimina CloudWatch los recursos de Amazon. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador de AWS DevOps, DevOps ingeniero de AWS |
| Eliminar AWS KMS recursos. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador de AWS DevOps, DevOps ingeniero de AWS |
### Eliminación de recursos de AFT en la cuenta del archivo de registros
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Elimine buckets de S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador de AWS DevOps, DevOps ingeniero de AWS |
| Elimine roles de IAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador de AWS DevOps, DevOps ingeniero de AWS |
### Eliminación de recursos de AFT en la cuenta de auditoría
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Elimine roles de IAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador de AWS DevOps, DevOps ingeniero de AWS |
### Elimine los recursos de AFT de la cuenta AWS Control Tower de administración
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Elimine roles de IAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador de AWS DevOps, DevOps ingeniero de AWS |
| Eliminar EventBridge reglas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador de AWS DevOps, DevOps ingeniero de AWS |
## Resolución de problemas
| Problema | Solución |
| --- | --- |
| No se pudo desconectar la puerta de enlace de Internet. | Mientras elimina los recursos identificados mediante la etiqueta **AFT**, si se encuentras con este problema al desconectar o eliminar la puerta de enlace de Internet, primero debe eliminar los puntos de conexión de VPC:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) |
| No puede encontrar las consultas CloudWatch especificadas. | Si no puede encontrar las CloudWatch consultas que creó AFT, siga estos pasos:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) |
## Recursos relacionados
+ AFT:
+ [GitHub Repositorio](https://github.com/aws-ia/terraform-aws-control_tower_account_factory)
+ [Taller](https://catalog.workshops.aws/control-tower/en-US/customization/aft)
+ [Documentación](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html)
+ [AWS Control Tower documentación](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)
## Información adicional
Para ver las consultas AFT en el panel de control de CloudWatch Logs Insights, selecciona el icono de **consultas guardadas y de muestra** en la esquina superior derecha, como se muestra en la siguiente captura de pantalla:
![\[Acceder a las consultas AFT en el panel de control de CloudWatch Logs Insights.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/1342c0a6-4b07-46df-a063-ceab2e2f83c8/images/255d4032-738b-4600-9084-9684d2e9a328.png)