使用 AWS Config 和 AWS Systems Manager 刪除未使用的 Amazon Elastic Block Store (Amazon EBS) 磁碟區

PDF

由 Sankar Sangubotla (AWS) 建立

Summary

Amazon Elastic Block Store (Amazon EBS) 磁碟區的生命週期通常與其連接的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的生命週期無關。除非您在啟動時選取終止時刪除選項，否則終止 EC2 執行個體會分離 EBS 磁碟區，但不會將其刪除。特別是在通常啟動和終止 EC2 執行個體的開發和測試環境中，這可能會導致大量未使用的 EBS 磁碟區。EBS 磁碟區會在您的 Amazon Web Services (AWS) 帳戶中產生費用，無論其是否正在使用。刪除這些磁碟區可協助您最佳化 AWS 帳戶的成本。此外，刪除未使用的 EBS 磁碟區是防止存取這些磁碟區中任何未使用、可能敏感的資料的安全最佳實務。

AWS Config 可協助您手動或自動修復不合規的資源。此模式說明如何設定 AWS Config 規則和自動修復動作，以刪除帳戶中未使用的 Amazon EBS 磁碟區。修復動作是預先定義的自動化執行手冊，AWS Systems Manager 的功能。您可以設定 Runbook，在刪除磁碟區之前建立磁碟區的快照。

先決條件和限制

先決條件

• 作用中的 AWS 帳戶

• AWS Identity and Access Management (IAM) 許可，可執行適用於 Automation 的 AWSConfigRemediation-DeleteUnusedEBSVolume Runbook，這是 AWS Systems Manager 的功能。如需詳細資訊，請參閱 AWSConfigRemediation-DeleteUnusedEBSVolume 中的必要 IAM 許可。

• 一或多個未使用的 Amazon EBS 磁碟區。

限制

• 未使用的 Amazon EBS 磁碟區必須處於 available 狀態。

架構

技術堆疊

• AWS Config

• Amazon EBS

• Systems Manager

• Systems Manager Automation

目標架構

1. AWS Config 規則會評估 EBS 磁碟區。

2. 規則會傳回合規和不合規資源的清單。處於 available 狀態的 EBS 磁碟區，即未使用的磁碟區，會判定為不合規。

3. AWS Config 會自動啟動 Automation Runbook。

4. 如果已設定，Systems Manager 會在刪除未使用的磁碟區之前建立快照。

5. Systems Manager 會刪除未使用的 EBS 磁碟區。

自動化和擴展

您可以將此解決方案套用至組織中的所有帳戶。如需詳細資訊，請參閱 AWS Config 文件中的管理組織中所有帳戶的規則。

工具

• AWS Config 可讓您詳細檢視 AWS 帳戶中的資源及其設定方式。它可協助您識別資源彼此的關係，以及其組態如何隨時間變化。

• AWS Systems Manager 可協助您管理在 AWS 雲端中執行的應用程式和基礎設施。它可簡化應用程式和資源管理、縮短偵測和解決操作問題的時間，並協助您大規模安全地管理 AWS 資源。

• AWS Systems Manager Automation 可簡化許多 AWS 服務的常見維護、部署和修復任務。

史詩

設定 AWS Config 規則

任務	描述	所需的技能
建立 Automation Runbook 的角色。	建立名為 的角色AssumeRole。Systems Manager Automation 使用此角色來執行 Runbook。如需說明，請參閱 Systems Manager 文件中的設定自動化的服務角色 （擔任角色） 存取。	AWS 系統管理員
開啟 AWS Config 記錄器。	請遵循 AWS Config 文件中的使用主控台設定 AWS Config 中的指示，以確保 AWS Config 正在執行，且已設定為記錄 Amazon EBS 磁碟區。	AWS 系統管理員
執行規則。	請遵循 AWS Config 文件中的評估資源中的指示來執行ec2-volume-inuse-check規則。等待評估完成。 在規則頁面上，選取ec2-volume-inuse-check規則，然後針對範圍內的資源，選擇不合規。 確認評估結果中有一或多個未使用的 Amazon EBS 磁碟區。	AWS 系統管理員

設定 AWS Config 規則

任務	描述	所需的技能
建立 Automation Runbook 的角色。	建立名為 的角色AssumeRole。Systems Manager Automation 使用此角色來執行 Runbook。如需說明，請參閱 Systems Manager 文件中的設定自動化的服務角色 （擔任角色） 存取。	AWS 系統管理員
開啟 AWS Config 記錄器。	請遵循 AWS Config 文件中的使用主控台設定 AWS Config 中的指示，以確保 AWS Config 正在執行，且已設定為記錄 Amazon EBS 磁碟區。	AWS 系統管理員
執行規則。	請遵循 AWS Config 文件中的評估資源中的指示來執行ec2-volume-inuse-check規則。等待評估完成。 在規則頁面上，選取ec2-volume-inuse-check規則，然後針對範圍內的資源，選擇不合規。 確認評估結果中有一或多個未使用的 Amazon EBS 磁碟區。	AWS 系統管理員

設定未使用的 Amazon EBS 磁碟區的自動修復

任務	描述	所需的技能
新增自動修復動作。	在規則頁面上，選取ec2-volume-inuse-check規則。 請遵循 AWS Config 文件中的設定自動修復中的指示。注意下列事項： 在修復動作詳細資訊區段中，選擇 AWSConfigRemediation-DeleteUnusedEBSVolume。 選取資源 ID 參數，然後在清單中，選擇 VolumeId。在執行時間，此參數會以不合規 EBS 磁碟區的 ID 取代。 在參數區段中，提供下列參數的值： CreateSnapshot – （選用） 如果設定為 true，自動化會在刪除 EBS 磁碟區之前建立快照。 AutomationAssumeRole – 輸入您先前建立之AssumeRole服務角色的 Amazon Resource Name (ARN)。	AWS 系統管理員
測試 AWS Config 規則的自動修復。	在 AWS Config 主控台的規則頁面上，選取ec2-volume-inuse-check規則。 在動作 功能表中，選擇重新評估。 允許規則評估不合規的資源，然後確認已刪除未使用的 Amazon EBS 磁碟區。	AWS 系統管理員

設定未使用的 Amazon EBS 磁碟區的自動修復

任務	描述	所需的技能
新增自動修復動作。	在規則頁面上，選取ec2-volume-inuse-check規則。 請遵循 AWS Config 文件中的設定自動修復中的指示。注意下列事項： 在修復動作詳細資訊區段中，選擇 AWSConfigRemediation-DeleteUnusedEBSVolume。 選取資源 ID 參數，然後在清單中，選擇 VolumeId。在執行時間，此參數會以不合規 EBS 磁碟區的 ID 取代。 在參數區段中，提供下列參數的值： CreateSnapshot – （選用） 如果設定為 true，自動化會在刪除 EBS 磁碟區之前建立快照。 AutomationAssumeRole – 輸入您先前建立之AssumeRole服務角色的 Amazon Resource Name (ARN)。	AWS 系統管理員
測試 AWS Config 規則的自動修復。	在 AWS Config 主控台的規則頁面上，選取ec2-volume-inuse-check規則。 在動作 功能表中，選擇重新評估。 允許規則評估不合規的資源，然後確認已刪除未使用的 Amazon EBS 磁碟區。	AWS 系統管理員

故障診斷

問題	解決方案
AWS Config 無法準確反映資源狀態。	有時候，AWS Config 不會更新資源的狀態。關閉記錄器，然後在 AWS Config Settings 頁面上重新開啟。記錄器會擷取資源的狀態。對於新建立或刪除的資源，記錄器可能需要一些時間才能反映目前狀態。如需 EBS 磁碟區狀態的詳細資訊，請參閱 Amazon EC2 文件中的磁碟區狀態。

相關資源

• AWSConfigRemediation-DeleteUnusedEBSVolume Runbook

• ec2-volume-inuse-check 規則

• 使用 AWS Config 規則修復不合規的 AWS 資源