Konfigurasikan perlindungan penghapusan grup Auto Scaling Kontrol izin penghapusan dengan kebijakan IAM

Konfigurasikan perlindungan penghapusan untuk sumber daya Amazon EC2 Auto Scaling

Lindungi infrastruktur Amazon EC2 Auto Scaling Anda dari penghapusan yang tidak disengaja dengan mengonfigurasi beberapa lapisan perlindungan. Auto Scaling menyediakan beberapa pendekatan untuk mencegah penghapusan sumber daya yang tidak diinginkan untuk grup Auto Scaling Anda dan instans Amazon EC2 yang dikelolanya.

Daftar Isi

Konfigurasikan perlindungan penghapusan grup Auto Scaling
Kontrol izin penghapusan dengan kebijakan IAM

Konfigurasikan perlindungan penghapusan grup Auto Scaling

Perlindungan penghapusan adalah setelan tingkat sumber daya yang mencegah grup Penskalaan Otomatis Amazon EC2 Anda dari penghapusan yang tidak disengaja. Saat diaktifkan, proteksi penghapusan memblokir operasi DeleteAutoScalingGroupAPI agar tidak berhasil, mengharuskan Anda memperbarui pengaturan perlindungan penghapusan terlebih dahulu ke tingkat yang tidak terlalu ketat sebelum Anda dapat menghapus grup Auto Scaling.

Amazon EC2 Auto Scaling menawarkan tiga tingkat perlindungan penghapusan:

Tidak ada (default): Tidak ada perlindungan penghapusan yang diaktifkan, artinya grup Auto Scaling Anda dapat dihapus dengan atau tanpa menggunakan opsi. ForceDelete Bila ForceDelete digunakan, semua instans Amazon EC2 yang dikelola oleh grup Auto Scaling Anda juga akan dihentikan secara paksa tanpa menjalankan kait siklus hidup penghentian.
Mencegah penghapusan paksa: Grup Auto Scaling Anda tidak dapat dihapus saat menggunakan opsi. ForceDelete Konfigurasi ini memungkinkan penghapusan grup Auto Scaling kosong (grup tanpa instance). Opsi ini direkomendasikan untuk beban kerja produksi di mana Anda ingin mencegah penghentian instans massal tetapi memungkinkan pembersihan grup kosong.
Mencegah semua penghapusan: Grup Auto Scaling Anda tidak dapat dihapus terlepas dari apakah ForceDelete opsi tersebut digunakan. Opsi ini memberikan perlindungan terkuat terhadap penghapusan yang tidak disengaja. Ini memerlukan penonaktifan perlindungan penghapusan secara eksplisit sebelum grup Auto Scaling Anda dapat dihapus. Ini direkomendasikan untuk grup Auto Scaling yang penting untuk misi yang jarang atau tidak pernah dihapus.

Cara kerja perlindungan penghapusan

Saat Anda mencoba operasi DeleteAutoScalingGroupAPI dengan perlindungan penghapusan diaktifkan:

Amazon EC2 Auto Scaling memvalidasi setelan perlindungan penghapusan sebelum memproses permintaan.
Jika tingkat perlindungan penghapusan yang dikonfigurasi memblokir upaya penghapusan, Amazon EC2 Auto Scaling mengembalikan file. ValidationError
Grup Auto Scaling Anda dan instans Amazon EC2-nya tetap tidak berubah.
Anda harus memperbarui pengaturan perlindungan penghapusan ke tingkat yang tidak terlalu ketat sebelum Anda dapat menghapus grup Auto Scaling Anda.

Perlindungan penghapusan tidak mencegah operasi lain seperti:

Memperbarui konfigurasi grup Auto Scaling.
Mengakhiri instance individual.
Operasi penskalaan (manual atau otomatis).
Menangguhkan atau melanjutkan proses.

Untuk informasi selengkapnya tentang cara menangani penghentian instans dengan anggun, lihat. Rancang aplikasi Anda untuk menangani penghentian instans dengan anggun

Konfigurasikan perlindungan penghapusan

Anda dapat mengatur perlindungan penghapusan saat membuat grup Auto Scaling atau memperbarui setelan pada grup Auto Scaling yang ada.

Console

Untuk membuat grup Auto Scaling dengan proteksi penghapusan

Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/, dan pilih Grup Auto Scaling dari panel navigasi.
Pilih Buat grup Auto Scaling.
Selesaikan langkah-langkah konfigurasi untuk grup Auto Scaling Anda.
Pada halaman Konfigurasikan ukuran grup dan penskalaan, perluas Pengaturan tambahan.
Untuk perlindungan penghapusan grup Auto Scaling, pilih tingkat perlindungan yang Anda inginkan:
- Tidak ada - Tidak ada perlindungan penghapusan (default)
- Mencegah penghapusan paksa - Operasi penghapusan kekuatan blok
- Mencegah semua penghapusan - Blokir semua operasi penghapusan
Selesaikan langkah-langkah yang tersisa untuk membuat grup Auto Scaling Anda.

Untuk memperbarui perlindungan penghapusan pada grup Auto Scaling yang ada

Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/, dan pilih Grup Auto Scaling dari panel navigasi.
Pilih kotak centang di samping grup Auto Scaling Anda.
Pilih Tindakan, Edit.
Di bawah Pengaturan tambahan, perbarui pengaturan perlindungan penghapusan grup Auto Scaling.
Pilih Perbarui.

AWS CLI

Untuk membuat grup Auto Scaling dengan proteksi penghapusan

Gunakan create-auto-scaling-groupperintah dengan --deletion-protection parameter:


aws autoscaling create-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --launch-template LaunchTemplateName=my-template,Version='$Latest' \
    --min-size 1 \
    --max-size 5 \
    --desired-capacity 2 \
    --vpc-zone-identifier "subnet-12345678,subnet-87654321" \
    --deletion-protection prevent-force-deletion

Nilai yang valid untuk --deletion-protection adalah: none | prevent-force-deletion | prevent-all-deletion

Untuk memperbarui perlindungan penghapusan pada grup Auto Scaling yang ada

Gunakan update-auto-scaling-groupperintah:


aws autoscaling update-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --deletion-protection prevent-all-deletion

Untuk menonaktifkan perlindungan penghapusan

Atur perlindungan penghapusan ke: none


aws autoscaling update-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --deletion-protection none

Untuk memverifikasi status perlindungan penghapusan

Gunakan describe-auto-scaling-groupsperintah:


aws autoscaling describe-auto-scaling-groups \
    --auto-scaling-group-names my-asg

Kontrol izin penghapusan dengan kebijakan IAM

Gunakan kebijakan AWS Identity and Access Management (IAM) untuk mengontrol pengguna dan peran mana yang dapat menghapus grup Auto Scaling. Kontrol berbasis IAM menyediakan lapisan keamanan tambahan dengan membatasi izin pada tingkat identitas.

Kebijakan IAM sangat berguna ketika Anda ingin:

Memungkinkan pengguna yang berbeda tingkat akses yang berbeda ke operasi Auto Scaling.
Cegah pengguna tertentu menggunakan ForceDelete opsi meskipun mereka dapat melakukan operasi Auto Scaling lainnya.
Batasi izin penghapusan ke grup Auto Scaling tertentu.

Kebijakan berikut memungkinkan penghapusan grup Auto Scaling hanya jika grup memiliki tag. environment=development

Kebijakan berikut menggunakan kunci autoscaling:ForceDelete kondisi untuk mengontrol akses ke tindakan DeleteAutoScalingGroup API. Hal ini dapat mencegah pengguna tertentu menggunakan ForceDelete operasi, yang menghentikan semua instans Amazon EC2 dalam grup Auto Scaling.

Atau, jika Anda tidak menggunakan tombol kondisi untuk mengontrol akses ke grup Auto Scaling, Anda dapat menentukan ARNs sumber daya dalam Resource elemen untuk mengontrol akses.

Kebijakan berikut memberikan izin kepada pengguna untuk menggunakan tindakan DeleteAutoScalingGroup API, tetapi hanya untuk grup Auto Scaling yang namanya dimulai. devteam-

Anda juga dapat menentukan beberapa ARNs dengan melampirkannya dalam daftar. Menyertakan UUID memastikan bahwa akses diberikan ke grup Auto Scaling tertentu. UUID untuk grup baru berbeda dari UUID untuk grup yang dihapus dengan nama yang sama.


"Resource": [
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-1",
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-2",
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-3"
]

Untuk contoh tambahan kebijakan IAM untuk Amazon EC2 Auto Scaling, termasuk kebijakan yang mengontrol izin penghapusan, lihat. Contoh kebijakan berbasis identitas

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Hapus infrastruktur Auto Scaling

Ganti instans Anda