Ситуация
У нас есть учетная запись AWS для песочницы, чтобы попробовать что-то новое. Это не для производства, просто для того, чтобы поиграть со всеми игрушками, которые предоставляет AWS. Мы хотим призвать всех исследовать и учиться.
У нас есть много учетных записей AWS в нашей собственности, включая, помимо прочего,
- песочница
- разработка
- тестовое задание
- производство
Для нас важна финансовая и экологическая ответственность.
Требование
- Должен
- автоматически уничтожать все в учетной записи песочницы.
- быть способным работать только на это конкретный аккаунт.
- Должен
- уничтожить экземпляр после Икс часы.
- Мог
Возможные решения
aws-nuke
Я видел aws-nuke. Если бы мы запускали это в полночь по средам и воскресеньям, все экземпляры закрывались бы. Это звучит как отличное решение, однако это также несколько опасно, так как это может привести к завершению экземпляров на других учетных записях по моей ошибке. В настоящее время он также работает со списком блокировки, а не с явным списком разрешений, что является еще одной потенциальной проблемой безопасности. я зарегистрировался aws-nuke#751 чтобы решить эту проблему.
Политика максимального времени безотказной работы
Другой метод, который я изучаю, заключается в использовании политики (IAM?), чтобы установить максимальное время безотказной работы для всего. Я чувствую, что это с меньшей вероятностью просочится на другие наши учетные записи, а также может быть более нюансированным. Я не уверен,
- как лучше это реализовать
- нужно ли его запускать в лямбде или это может быть просто политика
- ли это является на самом деле более безопасный, чем запуск aws-nuke по всему поместью.
Буду очень признателен за любые указатели.
