Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configure la protección contra la eliminación para sus recursos de Amazon EC2 Auto Scaling
<a name="resource-deletion-protection"></a>

 Proteja su infraestructura de Amazon EC2 Auto Scaling de una eliminación accidental mediante la configuración de varios niveles de protección. Auto Scaling ofrece varios enfoques para evitar la eliminación no deseada de recursos en sus grupos de Auto Scaling y en las instancias de Amazon EC2 que administra. 

**Topics**
+ [Configurar la protección de eliminación de grupos de Auto Scaling](#asg-deletion-protection)
+ [Controle los permisos de eliminación con las políticas de IAM](#deletion-protection-iam-policies)

## Configurar la protección de eliminación de grupos de Auto Scaling
<a name="asg-deletion-protection"></a>

 La protección contra la eliminación es una configuración a nivel de recursos que evita que el grupo de Amazon EC2 Auto Scaling se elimine accidentalmente. Cuando está habilitada, la protección de eliminación impide que la operación de la [ DeleteAutoScalingGroup](https://docs.aws.amazon.com/autoscaling/ec2/APIReference/API_DeleteAutoScalingGroup.html)API se lleve a cabo correctamente, lo que requiere que primero actualice la configuración de protección de eliminación a un nivel menos restrictivo antes de poder eliminar el grupo de Auto Scaling. 

Amazon EC2 Auto Scaling ofrece tres niveles de protección contra la eliminación:

**Ninguno** (predeterminado)  
 No hay ninguna protección de eliminación habilitada, lo que significa que su grupo de Auto Scaling se puede eliminar con o sin usar la `ForceDelete` opción. Cuando `ForceDelete` se utilice, todas las instancias de Amazon EC2 administradas por su grupo de Auto Scaling también se cancelarán forzosamente sin ejecutar enlaces de ciclo de vida de terminación. 

**Impida la eliminación forzada**  
 Tu grupo de Auto Scaling no se puede eliminar cuando usas `ForceDelete` esta opción. Esta configuración permite eliminar grupos de Auto Scaling vacíos (grupos sin instancias). Esta opción se recomienda para las cargas de trabajo de producción en las que se desea evitar la terminación masiva de instancias y, al mismo tiempo, permitir la limpieza de grupos vacíos. 

**Impide que se eliminen todas**  
 Su grupo de Auto Scaling no se puede eliminar independientemente de si se utiliza la `ForceDelete` opción. Esta opción proporciona la mejor protección contra la eliminación accidental. Es necesario deshabilitar explícitamente la protección contra la eliminación antes de que se pueda eliminar el grupo de Auto Scaling. Esto se recomienda para los grupos de Auto Scaling de misión crítica que se deben eliminar rara vez o nunca. 

### Cómo funciona la protección contra la eliminación
<a name="deletion-protection-how-it-works"></a>

 Cuando intentas operar con la [ DeleteAutoScalingGroup](https://docs.aws.amazon.com/autoscaling/ec2/APIReference/API_DeleteAutoScalingGroup.html)API con la protección contra la eliminación habilitada: 

1.  Amazon EC2 Auto Scaling valida la configuración de protección contra eliminación antes de procesar la solicitud. 

1.  Si el nivel de protección de eliminación configurado bloquea el intento de eliminación, Amazon EC2 Auto Scaling devuelve `ValidationError` un. 

1.  Su grupo de Auto Scaling y sus instancias de Amazon EC2 permanecen sin cambios. 

1.  Debe actualizar la configuración de protección contra la eliminación a un nivel menos restrictivo antes de poder eliminar su grupo de Auto Scaling. 

 La protección contra la eliminación no impide otras operaciones, tales como: 
+  Actualización de la configuración del grupo de Auto Scaling. 
+  Finalización de instancias individuales. 
+  Operaciones de escalado (manuales o automáticas). 
+  Suspender o reanudar los procesos. 

 Para obtener más información sobre cómo gestionar correctamente la terminación de instancias, consulte. [Diseño de aplicaciones para gestionar sin problemas la terminación de instancias](gracefully-handle-instance-termination.md) 

### Configure la protección contra la eliminación
<a name="configure-deletion-protection"></a>

 Puede configurar la protección contra la eliminación al crear un grupo de Auto Scaling o actualizar la configuración de un grupo de Auto Scaling existente. 

------
#### [ Console ]

**Para crear un grupo de Auto Scaling con protección contra eliminación**

1. Abra la consola Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)y seleccione **Auto Scaling Groups** en el panel de navegación.

1. Elija **Create Auto Scaling group (Crear grupo de escalado automático)**.

1. Complete los pasos de configuración de su grupo de Auto Scaling.

1. En la página **Configurar el tamaño y el escalado del grupo**, expanda **Ajustes adicionales**.

1. Para la **protección contra la eliminación de grupos de Auto Scaling**, elija el nivel de protección que desee:
   + **Ninguno**: sin protección contra la eliminación (predeterminado)
   + **Impedir la eliminación forzada**: bloquea las operaciones de eliminación forzada
   + **Impedir todas las eliminaciones**: bloquear todas las operaciones de eliminación

1. Complete los pasos restantes para crear su grupo de Auto Scaling.

**Para actualizar la protección contra la eliminación en un grupo de Auto Scaling existente**

1. Abra la consola Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)y seleccione **Auto Scaling Groups** en el panel de navegación.

1. Seleccione la casilla situada junto al grupo de escalado automático.

1. Seleccione **Acciones**, **Editar**.

1. En **Configuración adicional**, actualice la configuración de **protección contra la eliminación de grupos de Auto Scaling**.

1. Elija **Actualizar**.

------
#### [ AWS CLI ]

**Para crear un grupo de Auto Scaling con protección contra eliminación**  
Utilice el comando [create-auto-scaling-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/autoscaling/create-auto-scaling-group.html) con el parámetro `--deletion-protection`:

```
aws autoscaling create-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --launch-template LaunchTemplateName=my-template,Version='$Latest' \
    --min-size 1 \
    --max-size 5 \
    --desired-capacity 2 \
    --vpc-zone-identifier "subnet-12345678,subnet-87654321" \
    --deletion-protection prevent-force-deletion
```

Los valores válidos `--deletion-protection` son: `none` \$1 `prevent-force-deletion` \$1 `prevent-all-deletion`

**Para actualizar la protección contra la eliminación en un grupo de Auto Scaling existente**  
Utilice el comando [update-auto-scaling-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/autoscaling/update-auto-scaling-group.html):

```
aws autoscaling update-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --deletion-protection prevent-all-deletion
```

**Para deshabilitar la protección contra la eliminación**  
Defina la protección contra la eliminación en`none`:

```
aws autoscaling update-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --deletion-protection none
```

**Para verificar el estado de la protección contra la eliminación**  
Utilice el comando [describe-auto-scaling-groups](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/autoscaling/describe-auto-scaling-groups.html):

```
aws autoscaling describe-auto-scaling-groups \
    --auto-scaling-group-names my-asg
```

------

## Controle los permisos de eliminación con las políticas de IAM
<a name="deletion-protection-iam-policies"></a>

 Utilice políticas AWS Identity and Access Management (IAM) para controlar qué usuarios y roles pueden eliminar grupos de Auto Scaling. Los controles basados en la IAM proporcionan un nivel adicional de seguridad al restringir los permisos a nivel de identidad. 

Las políticas de IAM son especialmente útiles cuando se quiere:
+  Permita a diferentes usuarios diferentes niveles de acceso a las operaciones de Auto Scaling. 
+  Impida que usuarios específicos usen la `ForceDelete` opción incluso si pueden realizar otras operaciones de Auto Scaling. 
+  Restrinja los permisos de eliminación a grupos específicos de Auto Scaling. 

 La siguiente política permite eliminar un grupo de escalado automático solo si el grupo tiene la etiqueta `environment=development`. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": "autoscaling:DeleteAutoScalingGroup",
      "Resource": "*",
      "Condition": {
          "StringEquals": { "aws:ResourceTag/environment": "development" }
      }
   }]
}
```

------

 La siguiente política utiliza la clave de `autoscaling:ForceDelete` condición para controlar el acceso a la acción de la `DeleteAutoScalingGroup` API. Esto puede impedir que algunos usuarios utilicen la `ForceDelete` operación, que termina todas las instancias de Amazon EC2 dentro de un grupo de Auto Scaling. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Action": "autoscaling:DeleteAutoScalingGroup",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "autoscaling:ForceDelete": "true"
            }
        }
    }]
}
```

------

 Como alternativa, si no utiliza claves de condición para controlar el acceso a los grupos de Auto Scaling, puede especificar los recursos ARNs del `Resource` elemento para controlar el acceso. 

 La siguiente política otorga a los usuarios permisos para usar la acción de `DeleteAutoScalingGroup` API, pero solo para los grupos de Auto Scaling cuyo nombre comience por`devteam-`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "autoscaling:DeleteAutoScalingGroup",
            "Resource": "arn:aws:autoscaling:us-east-1:111122223333:autoScalingGroup:*:autoScalingGroupName/devteam-*"
        }
    ]
}
```

------

 También puede especificar varios ARNs incluyéndolos en una lista. Al incluir el UUID, se garantiza que el acceso se conceda al grupo de escalado automático especificado. El UUID de un grupo nuevo es diferente del UUID de un grupo eliminado con el mismo nombre. 

```
"Resource": [
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-1",
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-2",
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-3"
]
```

 Para ver ejemplos adicionales de políticas de IAM para Amazon EC2 Auto Scaling, incluidas las políticas que controlan los permisos de eliminación, consulte. [Ejemplos de políticas basadas en identidades](security_iam_id-based-policy-examples.md)