Supprimez les volumes Amazon Elastic Block Store (Amazon EBS) inutilisés à l'aide d'AWS Config et d'AWS Systems Manager - Recommandations AWS
RécapitulatifConditions préalables et limitationsArchitectureOutilsÉpopéesRésolution des problèmesRessources connexes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Supprimez les volumes Amazon Elastic Block Store (Amazon EBS) inutilisés à l'aide d'AWS Config et d'AWS Systems Manager

Créée par Sankar Sangubotla (AWS)

Environnement : PoC ou pilote

Technologies : sécurité, identité, conformité ; gestion et gouvernance ; gestion des coûts

Services AWS : AWS Config ; AWS Systems Manager

Récapitulatif

Le cycle de vie d'un volume Amazon Elastic Block Store (Amazon EBS) est généralement indépendant du cycle de vie de l'instance Amazon Elastic Compute Cloud (Amazon EC2) à laquelle il est rattaché. À moins que vous ne sélectionniez l'option Supprimer en cas de résiliation au moment du lancement, la mise hors service de l'instance EC2 détache le volume EBS mais ne le supprime pas. En particulier dans les environnements de développement et de test où il est courant de lancer et de mettre fin à des instances EC2, cela peut entraîner l'inutilisation d'un grand nombre de volumes EBS. Les volumes EBS sont débités sur votre compte Amazon Web Services (AWS), qu'ils soient utilisés ou non. La suppression de ces volumes peut vous aider à optimiser les coûts de vos comptes AWS. En outre, la suppression des volumes EBS inutilisés est une bonne pratique de sécurité pour empêcher l'accès aux données inutilisées et potentiellement sensibles de ces volumes.

AWS Config peut vous aider à corriger manuellement ou automatiquement les ressources non conformes. Ce modèle décrit comment configurer une règle AWS Config et une action de correction automatique qui supprime les volumes Amazon EBS inutilisés du compte. L'action de correction est un manuel d'exécution prédéfini pour Automation, une fonctionnalité d'AWS Systems Manager. Vous pouvez configurer le runbook pour créer un instantané du volume avant de le supprimer.

Conditions préalables et limitations

Prérequis

  • Un compte AWS actif.

  • Autorisations AWS Identity and Access Management (IAM) pour exécuter le AWSConfigRemediation-DeleteUnusedEBSVolume runbook for Automation, une fonctionnalité d'AWS Systems Manager. Pour plus d'informations, consultez la section Autorisations IAM requises dans AWSConfigRemediation- DeleteUnused EBSVolume.

  • Un ou plusieurs volumes Amazon EBS inutilisés.

Limites

  • Les volumes Amazon EBS non utilisés doivent être en bon available état.

Architecture

Pile technologique

  • AWS Config

  • Amazon EBS

  • Systems Manager

  • Systems Manager Automation

Architecture cible

AWS Config lance une automatisation de Systems Manager qui supprime les volumes EBS inutilisés.

  1. La règle AWS Config évalue les volumes EBS.

  2. La règle renvoie une liste de ressources conformes et non conformes. Les volumes EBS dans cet available état, qui sont des volumes non utilisés, sont considérés comme non conformes.

  3. AWS Config démarre automatiquement le runbook d'automatisation.

  4. S'il est configuré, Systems Manager crée des instantanés des volumes inutilisés avant de les supprimer.

  5. Systems Manager supprime les volumes EBS inutilisés.

Automatisation et mise à l'échelle

Vous pouvez appliquer cette solution à tous les comptes de votre organisation. Pour plus d'informations, consultez la section Gestion des règles pour tous les comptes de votre organisation dans la documentation AWS Config.

Outils

  • AWS Config fournit une vue détaillée des ressources de votre compte AWS et de leur configuration. Il vous aide à identifier la façon dont les ressources sont liées les unes aux autres et comment leurs configurations ont évolué au fil du temps.

  • AWS Systems Manager vous aide à gérer vos applications et votre infrastructure exécutées dans le cloud AWS. Il simplifie la gestion des applications et des ressources, réduit le délai de détection et de résolution des problèmes opérationnels et vous aide à gérer vos ressources AWS en toute sécurité à grande échelle.

  • AWS Systems Manager Automation simplifie les tâches courantes de maintenance, de déploiement et de correction pour de nombreux services AWS.

Épopées

TâcheDescriptionCompétences requises

Créez un rôle pour le runbook Automation.

Créez un rôle appeléAssumeRole. Systems Manager Automation utilise ce rôle pour exécuter le runbook. Pour obtenir des instructions, consultez la section Configuration d'un accès à un rôle de service (assumer un rôle) pour les automatisations dans la documentation de Systems Manager.

Administrateur système AWS

Activez l'enregistreur AWS Config.

Suivez les instructions de la section Configuration d'AWS Config avec la console dans la documentation AWS Config pour vous assurer qu'AWS Config est en cours d'exécution et qu'il est configuré pour enregistrer les volumes Amazon EBS.

Administrateur système AWS

Exécutez la règle.

  1. Suivez les instructions de la section Évaluation de vos ressources dans la documentation AWS Config pour exécuter la ec2-volume-inuse-check règle. Attendez que l'évaluation soit terminée.

  2. Sur la page Règles, sélectionnez la ec2-volume-inuse-check règle, puis pour Ressources concernées, choisissez Non conforme.

  3. Vérifiez qu'il existe un ou plusieurs volumes Amazon EBS inutilisés dans les résultats de l'évaluation.

Administrateur système AWS
TâcheDescriptionCompétences requises

Ajoutez l'action de correction automatique.

  1. Sur la page Règles, sélectionnez la ec2-volume-inuse-check règle.

  2. Suivez les instructions de la section Configuration de la correction automatique dans la documentation AWS Config. Notez ce qui suit :

  3. Dans la section Détails de l'action de correction, sélectionnezAWSConfigRemediation-DeleteUnusedEBSVolume.

    • Sélectionnez le paramètre Resource ID, puis dans la liste, choisissez VolumeId. Au moment de l'exécution, ce paramètre est remplacé par l'ID du volume EBS non conforme.

    • Dans la section Paramètres, indiquez les valeurs des paramètres suivants :

      • CreateSnapshot— (Facultatif) Si ce paramètre est défini surtrue, l'automatisation crée un instantané du volume EBS avant sa suppression.

      • AutomationAssumeRole— Entrez le nom de ressource Amazon (ARN) du rôle de AssumeRole service que vous avez créé précédemment.

Administrateur système AWS

Testez la correction automatique de la règle AWS Config.

  1. Dans la console AWS Config, sur la page Règles, sélectionnez la ec2-volume-inuse-check règle.

  2. Dans le menu Actions, choisissez Réévaluer.

  3. Permettez à la règle d'évaluer les ressources non conformes, puis confirmez que les volumes Amazon EBS inutilisés sont supprimés.

Administrateur système AWS

Résolution des problèmes

ProblèmeSolution

AWS Config ne reflète pas exactement l'état de la ressource.

Parfois, AWS Config ne met pas à jour l'état des ressources. Éteignez puis rallumez l'enregistreur sur la page des paramètres AWS Config. L'enregistreur enregistre l'état des ressources. Pour les ressources nouvellement créées ou supprimées, l'enregistreur peut mettre un certain temps à refléter l'état actuel. Pour plus d'informations sur les états des volumes EBS, consultez la section État des volumes dans la documentation Amazon EC2.

Ressources connexes