Amazon EC2 Auto Scaling 리소스에 대한 삭제 방지 구성 - Amazon EC2 Auto Scaling
Auto Scaling 그룹 삭제 보호 구성IAM 정책을 사용하여 삭제 권한 제어

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EC2 Auto Scaling 리소스에 대한 삭제 방지 구성

여러 보호 계층을 구성하여 Amazon EC2 Auto Scaling 인프라가 실수로 삭제되지 않도록 보호합니다. Auto Scaling은 Auto Scaling 그룹과 Auto Scaling이 관리하는 Amazon EC2 인스턴스에 대한 원치 않는 리소스 삭제를 방지하기 위한 몇 가지 접근 방식을 제공합니다.

Auto Scaling 그룹 삭제 보호 구성

삭제 방지는 Amazon EC2 Auto Scaling 그룹이 실수로 삭제되는 것을 방지하는 리소스 수준 설정입니다. 활성화되면 삭제 방지 기능은 DeleteAutoScalingGroup API 작업이 성공하지 못하도록 차단하므로 Auto Scaling 그룹을 삭제하기 전에 먼저 삭제 방지 설정을 덜 제한적인 수준으로 업데이트해야 합니다.

Amazon EC2 Auto Scaling은 세 가지 수준의 삭제 보호를 제공합니다.

없음(기본값)

삭제 방지가 활성화되지 않았습니다. 즉, ForceDelete 옵션을 사용하거나 사용하지 않고 Auto Scaling 그룹을 삭제할 수 있습니다. ForceDelete를 사용하면 Auto Scaling 그룹에서 관리하는 모든 Amazon EC2 인스턴스도 종료 수명 주기 후크를 실행하지 않고 강제로 종료됩니다.

강제 삭제 방지

ForceDelete 옵션을 사용할 때는 Auto Scaling 그룹을 삭제할 수 없습니다. 이 구성을 사용하면 빈 Auto Scaling 그룹(인스턴스가 없는 그룹)을 삭제할 수 있습니다. 이 옵션은 대량 인스턴스 종료를 방지하지만 빈 그룹을 정리할 수 있는 프로덕션 워크로드에 권장됩니다.

모든 삭제 방지

Auto Scaling 그룹은 ForceDelete 옵션 사용 여부에 관계없이 삭제할 수 없습니다. 이 옵션은 우발적 삭제로부터 가장 강력한 보호를 제공합니다. Auto Scaling 그룹을 삭제하려면 먼저 삭제 방지 기능을 명시적으로 비활성화해야 합니다. 이는 거의 또는 절대 삭제하지 않아야 하는 미션 크리티컬 Auto Scaling 그룹에 권장됩니다.

삭제 방지 작동 방식

삭제 방지가 활성화된 상태에서 DeleteAutoScalingGroup API 작업을 시도하는 경우:

  1. Amazon EC2 Auto Scaling은 요청을 처리하기 전에 삭제 방지 설정을 검증합니다.

  2. 구성된 삭제 방지 수준이 삭제 시도를 차단하면 Amazon EC2 Auto Scaling은를 반환합니다ValidationError.

  3. Auto Scaling 그룹과 해당 Amazon EC2 인스턴스는 변경되지 않습니다.

  4. Auto Scaling 그룹을 삭제하려면 먼저 삭제 방지 설정을 덜 제한적인 수준으로 업데이트해야 합니다.

삭제 방지 기능은 다음과 같은 다른 작업을 방지하지 않습니다.

  • Auto Scaling 그룹 구성 업데이트.

  • 개별 인스턴스 종료.

  • 조정 작업(수동 또는 자동).

  • 프로세스를 일시 중지하거나 재개합니다.

인스턴스 종료를 정상적으로 처리하는 방법에 대한 자세한 내용은 섹션을 참조하세요인스턴스 종료를 원활하게 처리할 수 있도록 애플리케이션 설계.

삭제 방지 구성

Auto Scaling 그룹을 생성하거나 기존 Auto Scaling 그룹의 설정을 업데이트할 때 삭제 방지를 설정할 수 있습니다.

Console
삭제 방지 기능을 사용하여 Auto Scaling 그룹을 생성하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 열고 탐색 창에서 Auto Scaling Groups(Auto Scaling 그룹)를 선택합니다.

  2. Create Auto Scaling group(Auto Scaling 그룹 생성)을 선택합니다.

  3. Auto Scaling 그룹의 구성 단계를 완료합니다.

  4. 그룹 크기 및 크기 조정 구성 페이지에서 추가 설정을 확장합니다.

  5. Auto Scaling 그룹 삭제 보호에서 원하는 보호 수준을 선택합니다.

    • 없음 - 삭제 방지 없음(기본값)

    • 강제 삭제 방지 - 강제 삭제 작업 차단

    • 모든 삭제 방지 - 모든 삭제 작업 차단

  6. 나머지 단계를 완료하여 Auto Scaling 그룹을 생성합니다.

기존 Auto Scaling 그룹에서 삭제 방지를 업데이트하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 열고 탐색 창에서 Auto Scaling 그룹(Auto Scaling Groups)을 선택합니다.

  2. Auto Scaling 그룹 옆의 확인란을 선택합니다.

  3. 작업(Actions), 편집(Edit)을 선택합니다.

  4. 추가 설정에서 Auto Scaling 그룹 삭제 보호 설정을 업데이트합니다.

  5. 업데이트를 선택합니다.

AWS CLI
삭제 방지 기능을 사용하여 Auto Scaling 그룹을 생성하려면

create-auto-scaling-group 명령을 --deletion-protection 파라미터와 함께 사용합니다.

aws autoscaling create-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --launch-template LaunchTemplateName=my-template,Version='$Latest' \
    --min-size 1 \
    --max-size 5 \
    --desired-capacity 2 \
    --vpc-zone-identifier "subnet-12345678,subnet-87654321" \
    --deletion-protection prevent-force-deletion

에 유효한 값은 | none prevent-force-deletion |--deletion-protection입니다. prevent-all-deletion

기존 Auto Scaling 그룹에서 삭제 방지를 업데이트하려면

update-auto-scaling-group 명령을 사용합니다.

aws autoscaling update-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --deletion-protection prevent-all-deletion
삭제 방지를 비활성화하려면

삭제 방지를 로 설정합니다none.

aws autoscaling update-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --deletion-protection none
삭제 방지 상태를 확인하려면

describe-auto-scaling-groups 명령을 사용합니다.

aws autoscaling describe-auto-scaling-groups \
    --auto-scaling-group-names my-asg

IAM 정책을 사용하여 삭제 권한 제어

AWS Identity and Access Management (IAM) 정책을 사용하여 Auto Scaling 그룹을 삭제할 수 있는 사용자 및 역할을 제어합니다. IAM 기반 제어는 자격 증명 수준에서 권한을 제한하여 추가 보안 계층을 제공합니다.

IAM 정책은 다음과 같은 경우에 특히 유용합니다.

  • 사용자마다 Auto Scaling 작업에 대한 다양한 수준의 액세스를 허용합니다.

  • 특정 사용자가 다른 Auto Scaling 작업을 수행할 수 있더라도 ForceDelete 옵션을 사용하지 못하도록 합니다.

  • 삭제 권한을 특정 Auto Scaling 그룹으로 제한합니다.

다음 정책은 그룹에 environment=development 태그가 있는 경우에만 Auto Scaling 그룹의 삭제를 허용합니다.

JSON
{
   "Version":"2012-10-17",
   "Statement": [{
      "Effect": "Allow",
      "Action": "autoscaling:DeleteAutoScalingGroup",
      "Resource": "*",
      "Condition": {
          "StringEquals": { "aws:ResourceTag/environment": "development" }
      }
   }]
}

다음 정책은 autoscaling:ForceDelete 조건 키를 사용하여 DeleteAutoScalingGroup API 작업에 대한 액세스를 제어합니다. 이렇게 하면 특정 사용자가 Auto Scaling 그룹 내의 모든 Amazon EC2 인스턴스를 종료하는 ForceDelete 작업을 사용하지 못할 수 있습니다.

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Deny",
        "Action": "autoscaling:DeleteAutoScalingGroup",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "autoscaling:ForceDelete": "true"
            }
        }
    }]
}

또는 조건 키를 사용하여 Auto Scaling 그룹에 대한 액세스를 제어하고 있지 않은 경우, Resource 요소에서 리소스의 ARN을 지정하여 대신 액세스를 제어할 수 있습니다.

다음 정책은 사용자에게 DeleteAutoScalingGroup API 작업을 사용할 수 있는 권한을 부여하지만 이름이 로 시작하는 Auto Scaling 그룹에만 적용됩니다devteam-.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "autoscaling:DeleteAutoScalingGroup",
            "Resource": "arn:aws:autoscaling:us-east-1:111122223333:autoScalingGroup:*:autoScalingGroupName/devteam-*"
        }
    ]
}

여러 ARN을 목록에 포함시켜 지정할 수도 있습니다. UUID를 포함하면 특정 Auto Scaling 그룹에 대한 액세스 권한을 부여할 수 있습니다. 새 그룹의 UUID는 이름이 같은 삭제된 그룹의 UUID와 다릅니다.

"Resource": [
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-1",
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-2",
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-3"
]

삭제 권한을 제어하는 정책을 포함하여 Amazon EC2 Auto Scaling에 대한 IAM 정책의 추가 예는 섹션을 참조하세요ID 기반 정책 예시.