As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Limpe os recursos AWS do Account Factory for Terraform (AFT) com segurança após a perda do arquivo de estado
*Gokendra Malviya, Amazon Web Services*
## Resumo
Quando você usa o AWS Account Factory for Terraform (AFT) para gerenciar seu AWS Control Tower ambiente, o AFT gera um arquivo de estado do Terraform para rastrear o estado e a configuração dos recursos criados pelo Terraform. Perder o arquivo de estado do Terraform pode gerar desafios significativos para o gerenciamento e a limpeza dos recursos. Esse padrão fornece uma abordagem sistemática para identificar e remover com segurança os recursos relacionados ao AFT, mantendo a integridade do seu AWS Control Tower ambiente.
O processo foi projetado para garantir a remoção adequada de todos os componentes do AFT, mesmo na ausência da referência do arquivo de estado original. Esse processo fornece um caminho claro para restabelecer e reconfigurar com sucesso o AFT em seu ambiente, para ajudar a garantir o mínimo de interrupção em suas operações. AWS Control Tower
Para obter mais informações sobre o AFT, consulte a [documentação do AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/taf-account-provisioning.html).
## Pré-requisitos e limitações
**Pré-requisitos **
+ Conhecimento detalhado da [arquitetura do AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-architecture.html).
+ Acesso de administrador às seguintes contas:
+ Conta gerencial do AFT
+ AWS Control Tower Conta de gerenciamento
+ Conta de arquivamento de logs
+ Conta de auditoria
+ Verificação de que nenhuma política de controle de serviço (SCPs) contém restrições ou limitações que bloqueariam a exclusão de recursos relacionados ao AFT.
**Limitações**
+ Este procedimento consegue remover os recursos com eficiência, porém não recupera arquivos de estado perdidos, e alguns recursos podem precisar ser identificados manualmente.
+ O tempo necessário para o processo de limpeza varia conforme a complexidade do ambiente e pode demorar várias horas.
+ Este padrão foi testado usando a versão 1.12.2 do AFT e remove os recursos listados a seguir. Se você estiver usando uma versão diferente do AFT, talvez seja necessário excluir recursos adicionais.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html)
**Importante**
Os recursos excluídos pelos procedimentos deste padrão não podem ser recuperados. Antes de seguir estas etapas, verifique cuidadosamente os nomes dos recursos e confirme que eles foram criados pelo AFT.
## Arquitetura
O diagrama a seguir apresenta os componentes do AFT e o fluxo de trabalho geral. O AFT configura um pipeline do Terraform que ajuda você a provisionar e personalizar suas contas no AWS Control Tower. O AFT segue um GitOps modelo para automatizar os processos de provisionamento de contas em. AWS Control Tower Você cria um arquivo do Terraform para uma solicitação de conta e o envia para um repositório, que fornece a entrada que aciona o fluxo de trabalho do AFT para o provisionamento das contas. Após a conclusão do provisionamento da conta, o AFT pode executar etapas adicionais de personalização automaticamente.
![\[Componentes do AFT e fluxo de trabalho geral.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/1342c0a6-4b07-46df-a063-ceab2e2f83c8/images/3e0cae87-20ef-4fcc-aacf-bb450844ac56.png)
Nesta arquitetura:
+ AWS Control Tower A **conta de gerenciamento** Conta da AWS é dedicada ao AWS Control Tower serviço. Essa conta também é comumente referida como *conta pagadora da AWS * ou a *conta gerencial do AWS Organizations *.
+ A **conta de gerenciamento da AFT** Conta da AWS é dedicada às operações de gerenciamento da AFT. Esta conta é diferente da conta gerencial da sua organização.
+ A **conta vendida** Conta da AWS contém todos os componentes e controles básicos que você selecionou. A AFT usa AWS Control Tower para vender uma nova conta.
Para obter informações adicionais sobre essa arquitetura, consulte [Introdução ao AFT](https://catalog.workshops.aws/control-tower/en-US/customization/aft) no AWS Control Tower workshop.
## Ferramentas
**Serviços da AWS**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)ajuda você a configurar e administrar um ambiente AWS com várias contas, seguindo as melhores práticas prescritivas.
+ AWS O [Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/taf-account-provisioning.html) configura um pipeline do Terraform para ajudá-lo a provisionar e personalizar contas e recursos no. AWS Control Tower
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ajuda você a gerenciar e governar centralmente seu ambiente à medida que você cresce e escala seus AWS recursos. Com o Organizations, você pode criar contas e alocar recursos, agrupar contas para organizar os fluxos de trabalho, aplicar políticas de governança e simplificar o faturamento usando um único método de pagamento para todas as suas contas.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los. Este padrão requer perfis IAM e permissões.
**Outras ferramentas**
+ [O Terraform](https://www.terraform.io/) é uma ferramenta de infraestrutura como código (IaC) HashiCorp que ajuda você a criar e gerenciar recursos na nuvem e no local.
## Práticas recomendadas
+ Para AWS Control Tower isso, consulte [Práticas recomendadas para AWS Control Tower administradores](https://docs.aws.amazon.com/controltower/latest/userguide/best-practices.html) na AWS Control Tower documentação.
+ Para o IAM, consulte as [Práticas recomendadas de segurança](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) na documentação do IAM.
## Épicos
### Exclusão de recursos do AFT na conta gerencial do AFT
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Exclua recursos identificados pela etiqueta do AFT. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador da AWS, AWS DevOps, DevOps engenheiro |
| Exclua os perfis do IAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador da AWS, AWS DevOps, DevOps engenheiro |
| Exclua o cofre AWS Backup de backup. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador da AWS, AWS DevOps, DevOps engenheiro |
| Exclua CloudWatch os recursos da Amazon. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador da AWS, AWS DevOps, DevOps engenheiro |
| Exclua AWS KMS recursos. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador da AWS, AWS DevOps, DevOps engenheiro |
### Exclusão dos recursos do AFT na conta de arquivamento de logs
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Exclua os buckets do S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador da AWS, AWS DevOps, DevOps engenheiro |
| Exclua os perfis do IAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador da AWS, AWS DevOps, DevOps engenheiro |
### Exclusão dos recursos do AFT na conta de auditoria
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Exclua os perfis do IAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador da AWS, AWS DevOps, DevOps engenheiro |
### Excluir recursos AFT na conta AWS Control Tower de gerenciamento
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Exclua os perfis do IAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador da AWS, AWS DevOps, DevOps engenheiro |
| Exclua EventBridge as regras. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) | Administrador da AWS, AWS DevOps, DevOps engenheiro |
## Solução de problemas
| Problema | Solução |
| --- | --- |
| A desanexação do gateway da internet não foi bem-sucedida. | Durante a exclusão dos recursos identificados pela etiqueta **AFT**, se você enfrentar esse problema ao desanexar ou excluir o gateway da internet, deverá primeiro excluir os endpoints da VPC:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) |
| Você não consegue encontrar as CloudWatch consultas especificadas. | Se você não conseguir encontrar CloudWatch as consultas que foram criadas pelo AFT, siga estas etapas:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/clean-up-aft-resources-safely-after-state-file-loss.html) |
## Recursos relacionados
+ AFT:
+ [GitHub Repositório](https://github.com/aws-ia/terraform-aws-control_tower_account_factory)
+ [Workshop](https://catalog.workshops.aws/control-tower/en-US/customization/aft)
+ [Documentação](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html)
+ [AWS Control Tower documentação](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)
## Mais informações
Para visualizar as consultas AFT no painel do CloudWatch Logs Insights, escolha o ícone de **consultas salvas e de amostra** no canto superior direito, conforme ilustrado na captura de tela a seguir:
![\[Acessando as consultas do AFT no painel do CloudWatch Logs Insights.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/1342c0a6-4b07-46df-a063-ceab2e2f83c8/images/255d4032-738b-4600-9084-9684d2e9a328.png)