สถานการณ์
เรามีบัญชี AWS แบบแซนด์บ็อกซ์สำหรับทดลองใช้งาน ไม่ได้มีไว้สำหรับการผลิต มีไว้สำหรับเล่นกับของเล่นทั้งหมดที่ AWS จัดให้เท่านั้น เราต้องการสนับสนุนให้ทุกคนสำรวจและเรียนรู้
เรามีบัญชี AWS จำนวนมากในพื้นที่ของเรา ซึ่งรวมถึงแต่ไม่จำกัดเพียง
- กล่องทราย
- การพัฒนา
- ทดสอบ
- การผลิต
ความรับผิดชอบทางการเงินและสิ่งแวดล้อมเป็นสิ่งสำคัญสำหรับเรา
ความต้องการ
- ต้อง
- ทำลายทุกอย่างในบัญชีแซนด์บ็อกซ์โดยอัตโนมัติ
- สามารถวิ่งต่อไปได้เท่านั้น นี้ บัญชีเฉพาะ
- ควร
- ทำลายอินสแตนซ์หลังจากนั้น x ชั่วโมง.
- สามารถ
โซลูชั่นที่เป็นไปได้
aws-nuke
ฉันเคยเห็น aws-nuke. หากเราดำเนินการนี้ในเวลาเที่ยงคืนของวันพุธและวันอาทิตย์ การดำเนินการดังกล่าวจะสิ้นสุดลงทั้งหมด วิธีนี้ฟังดูเป็นวิธีแก้ปัญหาที่ดี แต่ก็ค่อนข้างอันตรายเช่นกัน เพราะมันอาจยุติอินสแตนซ์ในบัญชีอื่น ๆ ที่ฉันทำผิด ปัจจุบันยังใช้งานได้กับรายการ block-nuke แทนที่จะเป็นรายการอนุญาต-nuke ที่ชัดเจน ซึ่งเป็นปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นอีกประการหนึ่ง ฉันได้เข้าสู่ระบบ aws-nuke#751 เพื่อแก้ไขปัญหานี้
นโยบายเวลาทำงานสูงสุด
อีกวิธีหนึ่งที่ฉันกำลังตรวจสอบคือใช้นโยบาย (IAM?) เพื่อตั้งค่าเวลาทำงานสูงสุดสำหรับทุกสิ่ง ฉันรู้สึกว่าสิ่งนี้มีโอกาสน้อยที่จะรั่วไหลไปยังบัญชีอื่นๆ ของเรา และยังมีโอกาสที่จะเหมาะสมยิ่งขึ้นอีกด้วย ฉันไม่แน่ใจ,
- วิธีที่ดีที่สุดที่จะใช้สิ่งนี้
- ไม่ว่าจะต้องเรียกใช้ในแลมบ์ดาหรือเป็นนโยบายก็ได้
- ไม่ว่าจะเป็นนี้ เป็น ปลอดภัยกว่าการใช้ aws-nuke ทั่วทั้งอสังหาริมทรัพย์
ฉันจะขอบคุณอย่างมากสำหรับพอยน์เตอร์ใด ๆ