สถานการณ์

เรามีบัญชี AWS แบบแซนด์บ็อกซ์สำหรับทดลองใช้งาน ไม่ได้มีไว้สำหรับการผลิต มีไว้สำหรับเล่นกับของเล่นทั้งหมดที่ AWS จัดให้เท่านั้น เราต้องการสนับสนุนให้ทุกคนสำรวจและเรียนรู้

เรามีบัญชี AWS จำนวนมากในพื้นที่ของเรา ซึ่งรวมถึงแต่ไม่จำกัดเพียง

• กล่องทราย
• การพัฒนา
• ทดสอบ
• การผลิต

ความรับผิดชอบทางการเงินและสิ่งแวดล้อมเป็นสิ่งสำคัญสำหรับเรา

ความต้องการ

• ต้อง
  • ทำลายทุกอย่างในบัญชีแซนด์บ็อกซ์โดยอัตโนมัติ
  • สามารถวิ่งต่อไปได้เท่านั้น นี้ บัญชีเฉพาะ
• ควร
  • ทำลายอินสแตนซ์หลังจากนั้น x ชั่วโมง.
• สามารถ
  • ใช้ ปุ่มหย่อน เป็น สวิตช์ของคนตาย.

โซลูชั่นที่เป็นไปได้

aws-nuke

ฉันเคยเห็น aws-nuke. หากเราดำเนินการนี้ในเวลาเที่ยงคืนของวันพุธและวันอาทิตย์ การดำเนินการดังกล่าวจะสิ้นสุดลงทั้งหมด วิธีนี้ฟังดูเป็นวิธีแก้ปัญหาที่ดี แต่ก็ค่อนข้างอันตรายเช่นกัน เพราะมันอาจยุติอินสแตนซ์ในบัญชีอื่น ๆ ที่ฉันทำผิด ปัจจุบันยังใช้งานได้กับรายการ block-nuke แทนที่จะเป็นรายการอนุญาต-nuke ที่ชัดเจน ซึ่งเป็นปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นอีกประการหนึ่ง ฉันได้เข้าสู่ระบบ aws-nuke#751 เพื่อแก้ไขปัญหานี้

นโยบายเวลาทำงานสูงสุด

อีกวิธีหนึ่งที่ฉันกำลังตรวจสอบคือใช้นโยบาย (IAM?) เพื่อตั้งค่าเวลาทำงานสูงสุดสำหรับทุกสิ่ง ฉันรู้สึกว่าสิ่งนี้มีโอกาสน้อยที่จะรั่วไหลไปยังบัญชีอื่นๆ ของเรา และยังมีโอกาสที่จะเหมาะสมยิ่งขึ้นอีกด้วย ฉันไม่แน่ใจ,

• วิธีที่ดีที่สุดที่จะใช้สิ่งนี้
• ไม่ว่าจะต้องเรียกใช้ในแลมบ์ดาหรือเป็นนโยบายก็ได้
• ไม่ว่าจะเป็นนี้ เป็น ปลอดภัยกว่าการใช้ aws-nuke ทั่วทั้งอสังหาริมทรัพย์

ฉันจะขอบคุณอย่างมากสำหรับพอยน์เตอร์ใด ๆ

ที่นายจ้างคนก่อนคนหนึ่งได้เขียนฟังก์ชัน Lambda เพื่อแสดงรายการอินสแตนซ์ที่กำลังทำงานอยู่ทั้งหมด และหยุดการทำงานเหล่านั้นทุกคืนเวลา 19.00 น. หากไม่มีแท็กเฉพาะ นี่เป็นวิธีที่ค่อนข้างง่ายและมีประสิทธิภาพในการจัดการกับมัน งูเหลือม โบโต3 ห้องสมุดค่อนข้างใช้งานง่าย

แลมบ์ดาถูกนำไปใช้ในองค์กรและใช้บทบาทข้ามบัญชี แต่คุณสามารถปรับใช้ได้อย่างง่ายดายผ่าน StackSet ในบัญชีองค์กรทั้งหมด และกำหนดให้กำหนดเป้าหมายเฉพาะอินสแตนซ์ของบัญชีนั้น