Konfigurieren Sie den Löschschutz für Ihre Amazon EC2 Auto Scaling Scaling-Ressourcen - Amazon EC2 Auto Scaling
Konfigurieren Sie den Schutz vor dem Löschen von Auto Scaling Scaling-GruppenSteuern Sie die Löschberechtigungen mit IAM-Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie den Löschschutz für Ihre Amazon EC2 Auto Scaling Scaling-Ressourcen

Schützen Sie Ihre Amazon EC2 Auto Scaling Scaling-Infrastruktur vor versehentlichem Löschen, indem Sie mehrere Schutzebenen konfigurieren. Auto Scaling bietet mehrere Ansätze, um das ungewollte Löschen von Ressourcen für Ihre Auto Scaling Scaling-Gruppen und die von ihm verwalteten Amazon EC2 EC2-Instances zu verhindern.

Konfigurieren Sie den Schutz vor dem Löschen von Auto Scaling Scaling-Gruppen

Der Löschschutz ist eine Einstellung auf Ressourcenebene, die verhindert, dass Ihre Amazon EC2 Auto Scaling Scaling-Gruppe versehentlich gelöscht wird. Wenn diese Option aktiviert ist, verhindert der Löschschutz den Erfolg des DeleteAutoScalingGroupAPI-Vorgangs, sodass Sie zuerst die Löschschutzeinstellung auf eine weniger restriktive Stufe aktualisieren müssen, bevor Sie die Auto Scaling Scaling-Gruppe löschen können.

Amazon EC2 Auto Scaling bietet drei Stufen des Löschschutzes:

Keine (Standard)

Es ist kein Löschschutz aktiviert, was bedeutet, dass Ihre Auto Scaling Scaling-Gruppe mit oder ohne Verwendung der ForceDelete Option gelöscht werden kann. Wenn diese ForceDelete Option verwendet wird, werden alle Amazon EC2 EC2-Instances, die von Ihrer Auto Scaling Scaling-Gruppe verwaltet werden, ebenfalls zwangsweise beendet, ohne dass Termination-Lifecycle-Hooks ausgeführt werden.

Erzwungenes Löschen verhindern

Ihre Auto Scaling Scaling-Gruppe kann nicht gelöscht werden, wenn Sie ForceDelete diese Option verwenden. Diese Konfiguration ermöglicht das Löschen leerer Auto Scaling Scaling-Gruppen (Gruppen ohne Instanzen). Diese Option wird für Produktionsworkloads empfohlen, bei denen Sie eine Massenbeendigung von Instances verhindern, aber die Bereinigung leerer Gruppen zulassen möchten.

Jegliches Löschen verhindern

Ihre Auto Scaling Scaling-Gruppe kann nicht gelöscht werden, unabhängig davon, ob die ForceDelete Option verwendet wird. Diese Option bietet den stärksten Schutz vor versehentlichem Löschen. Sie müssen den Löschschutz explizit deaktivieren, bevor Ihre Auto Scaling Scaling-Gruppe gelöscht werden kann. Dies wird für geschäftskritische Auto Scaling Scaling-Gruppen empfohlen, die selten oder nie gelöscht werden sollten.

So funktioniert der Löschschutz

Wenn Sie versuchen, den DeleteAutoScalingGroupAPI-Vorgang mit aktiviertem Löschschutz durchzuführen, gehen Sie wie folgt vor:

  1. Amazon EC2 Auto Scaling validiert die Löschschutzeinstellung, bevor die Anfrage verarbeitet wird.

  2. Wenn die konfigurierte Löschschutzstufe den Löschversuch blockiert, gibt Amazon EC2 Auto Scaling a ValidationError zurück.

  3. Ihre Auto Scaling Scaling-Gruppe und ihre Amazon EC2 EC2-Instances bleiben unverändert.

  4. Sie müssen die Löschschutzeinstellung auf eine weniger restriktive Stufe aktualisieren, bevor Sie Ihre Auto Scaling Scaling-Gruppe löschen können.

Der Löschschutz verhindert nicht andere Operationen wie:

  • Aktualisierung der Auto Scaling Scaling-Gruppenkonfiguration.

  • Beenden einzelner Instanzen.

  • Skalierungsvorgänge (manuell oder automatisch).

  • Prozesse aussetzen oder wieder aufnehmen.

Weitere Informationen zur ordnungsgemäßen Handhabung der Instanzbeendigung finden Sie unter. Gestalten Sie Ihre Anwendungen so, dass sie die Instance-Kündigung ordnungsgemäß handhaben

Konfigurieren Sie den Löschschutz

Sie können den Löschschutz einrichten, wenn Sie eine Auto Scaling Scaling-Gruppe erstellen oder die Einstellung für eine bestehende Auto Scaling Scaling-Gruppe aktualisieren.

Console
So erstellen Sie eine Auto Scaling Scaling-Gruppe mit Löschschutz

  1. Öffnen Sie die Amazon EC2 EC2-Konsole unter https://console.aws.amazon.com/ec2/und wählen Sie im Navigationsbereich Auto Scaling Groups aus.

  2. Wählen Sie Erstellen einer Auto-Scaling-Gruppe aus.

  3. Schließen Sie die Konfigurationsschritte für Ihre Auto Scaling Scaling-Gruppe ab.

  4. Erweitern Sie auf der Seite Gruppengröße und Skalierung konfigurieren die Option Zusätzliche Einstellungen.

  5. Wählen Sie für den Schutz vor dem Löschen von Auto Scaling Scaling-Gruppen die gewünschte Schutzstufe aus:

    • Keiner — Kein Löschschutz (Standard)

    • Erzwungenes Löschen verhindern — Blockiert erzwungenes Löschen

    • Jegliches Löschen verhindern — Alle Löschvorgänge blockieren

  6. Führen Sie die verbleibenden Schritte aus, um Ihre Auto Scaling Scaling-Gruppe zu erstellen.

So aktualisieren Sie den Löschschutz für eine bestehende Auto Scaling Scaling-Gruppe

  1. Öffnen Sie die Amazon EC2 EC2-Konsole unter https://console.aws.amazon.com/ec2/und wählen Sie im Navigationsbereich Auto Scaling Groups aus.

  2. Aktivieren Sie das Kontrollkästchen neben Ihrer Auto-Scaling-Gruppe.

  3. Wählen Sie Aktionen und Bearbeiten.

  4. Aktualisieren Sie unter Zusätzliche Einstellungen die Einstellung für den Schutz vor dem Löschen von Auto Scaling Scaling-Gruppen.

  5. Wählen Sie Aktualisieren aus.

AWS CLI
So erstellen Sie eine Auto Scaling Scaling-Gruppe mit Löschschutz

Verwenden Sie den create-auto-scaling-groupBefehl mit dem --deletion-protection Parameter:

aws autoscaling create-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --launch-template LaunchTemplateName=my-template,Version='$Latest' \
    --min-size 1 \
    --max-size 5 \
    --desired-capacity 2 \
    --vpc-zone-identifier "subnet-12345678,subnet-87654321" \
    --deletion-protection prevent-force-deletion

Gültige Werte für --deletion-protection sind: none | prevent-force-deletion | prevent-all-deletion

So aktualisieren Sie den Löschschutz für eine bestehende Auto Scaling Scaling-Gruppe

Verwenden Sie den -Befehl:update-auto-scaling-group

aws autoscaling update-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --deletion-protection prevent-all-deletion
Um den Löschschutz zu deaktivieren

Stellen Sie den Löschschutz ein aufnone:

aws autoscaling update-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --deletion-protection none
Um den Status des Löschschutzes zu überprüfen

Verwenden Sie den -Befehl:describe-auto-scaling-groups

aws autoscaling describe-auto-scaling-groups \
    --auto-scaling-group-names my-asg

Steuern Sie die Löschberechtigungen mit IAM-Richtlinien

Verwenden Sie AWS Identity and Access Management (IAM-) Richtlinien, um zu steuern, welche Benutzer und Rollen Auto Scaling Scaling-Gruppen löschen können. IAM-basierte Kontrollen bieten eine zusätzliche Sicherheitsebene, indem sie Berechtigungen auf Identitätsebene einschränken.

IAM-Richtlinien sind besonders nützlich, wenn Sie:

  • Erlauben Sie verschiedenen Benutzern unterschiedliche Zugriffsebenen auf Auto Scaling Scaling-Operationen.

  • Verhindern Sie, dass bestimmte Benutzer die ForceDelete Option verwenden, auch wenn sie andere Auto Scaling Scaling-Operationen ausführen können.

  • Beschränken Sie die Löschberechtigungen auf bestimmte Auto Scaling Scaling-Gruppen.

Die folgende Richtlinie erlaubt das Löschen einer Auto-Scaling-Gruppe nur, wenn die Gruppe über das Tag verfügtenvironment=development.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": "autoscaling:DeleteAutoScalingGroup",
      "Resource": "*",
      "Condition": {
          "StringEquals": { "aws:ResourceTag/environment": "development" }
      }
   }]
}

Die folgende Richtlinie verwendet den autoscaling:ForceDelete Bedingungsschlüssel, um den Zugriff auf die DeleteAutoScalingGroup API-Aktion zu steuern. Dadurch kann verhindert werden, dass bestimmte Benutzer den ForceDelete Vorgang verwenden, der alle Amazon EC2 EC2-Instances innerhalb einer Auto Scaling Scaling-Gruppe beendet.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Action": "autoscaling:DeleteAutoScalingGroup",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "autoscaling:ForceDelete": "true"
            }
        }
    }]
}

Wenn Sie keine Bedingungsschlüssel verwenden, um den Zugriff auf Auto Scaling Scaling-Gruppen zu steuern, können Sie stattdessen die Anzahl ARNs der Ressourcen in dem Resource Element angeben, um den Zugriff zu steuern.

Die folgende Richtlinie erteilt Benutzern die Erlaubnis, die DeleteAutoScalingGroup API-Aktion zu verwenden, jedoch nur für Auto Scaling Scaling-Gruppen, deren Name mit beginntdevteam-.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "autoscaling:DeleteAutoScalingGroup",
            "Resource": "arn:aws:autoscaling:us-east-1:111122223333:autoScalingGroup:*:autoScalingGroupName/devteam-*"
        }
    ]
}

Sie können auch mehrere angeben, ARNs indem Sie sie in eine Liste aufnehmen. Einbeziehung der UUID stellt sicher, dass Zugriff zu der spezifischen Auto Scaling-Gruppe gewährt ist. Die UUID für eine neue Gruppe unterscheidet sich von der UUID für eine gelöschte Gruppe mit demselben Namen. 

"Resource": [
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-1",
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-2",
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-3"
]

Weitere Beispiele für IAM-Richtlinien für Amazon EC2 Auto Scaling, einschließlich Richtlinien zur Steuerung von Löschberechtigungen, finden Sie unter. Beispiele für identitätsbasierte Richtlinien