Configura la protezione da eliminazione per le tue risorse Amazon EC2 Auto Scaling - Amazon EC2 Auto Scaling
Configurare la protezione da eliminazione dei gruppi Auto ScalingControlla le autorizzazioni di eliminazione con le politiche IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura la protezione da eliminazione per le tue risorse Amazon EC2 Auto Scaling

Proteggi la tua infrastruttura Amazon EC2 Auto Scaling dall'eliminazione accidentale configurando più livelli di protezione. Auto Scaling offre diversi approcci per prevenire l'eliminazione indesiderata di risorse per i gruppi di Auto Scaling e le istanze Amazon EC2 che gestisce.

Configurare la protezione da eliminazione dei gruppi Auto Scaling

La protezione da eliminazione è un'impostazione a livello di risorsa che impedisce l'eliminazione accidentale del gruppo Amazon EC2 Auto Scaling. Se abilitata, la protezione da eliminazione blocca l'operazione dell' DeleteAutoScalingGroupAPI e richiede l'aggiornamento dell'impostazione di protezione da eliminazione a un livello meno restrittivo prima di poter eliminare il gruppo Auto Scaling.

Amazon EC2 Auto Scaling offre tre livelli di protezione dall'eliminazione:

Nessuno (impostazione predefinita)

Non è abilitata alcuna protezione dall'eliminazione, il che significa che il gruppo Auto Scaling può essere eliminato con o senza utilizzare l'ForceDeleteopzione. Quando ForceDelete viene utilizzata, tutte le istanze Amazon EC2 gestite dal tuo gruppo Auto Scaling verranno inoltre chiuse forzatamente senza eseguire gli hook del ciclo di vita della terminazione.

Impedisci l'eliminazione forzata

Il gruppo Auto Scaling non può essere eliminato quando si utilizza l'ForceDeleteopzione. Questa configurazione consente l'eliminazione di gruppi Auto Scaling vuoti (gruppi senza istanze). Questa opzione è consigliata per i carichi di lavoro di produzione in cui si desidera impedire la chiusura di massa delle istanze ma consentire la pulizia dei gruppi vuoti.

Impedisci tutte le eliminazioni

Il gruppo Auto Scaling non può essere eliminato indipendentemente dal fatto che venga utilizzata l'ForceDeleteopzione. Questa opzione offre la protezione più efficace contro l'eliminazione accidentale. È necessario disabilitare esplicitamente la protezione da eliminazione prima che il gruppo Auto Scaling possa essere eliminato. Questa opzione è consigliata per i gruppi di Auto Scaling strategici che dovrebbero essere eliminati raramente o mai.

Come funziona la protezione dall'eliminazione

Quando tenti di utilizzare l' DeleteAutoScalingGroupAPI con la protezione da eliminazione abilitata:

  1. Amazon EC2 Auto Scaling convalida l'impostazione di protezione dall'eliminazione prima di elaborare la richiesta.

  2. Se il livello di protezione da eliminazione configurato blocca il tentativo di eliminazione, Amazon EC2 Auto ValidationError Scaling restituisce un.

  3. Il gruppo Auto Scaling e le relative istanze Amazon EC2 rimangono invariati.

  4. È necessario aggiornare l'impostazione di protezione dall'eliminazione a un livello meno restrittivo prima di poter eliminare il gruppo Auto Scaling.

La protezione da eliminazione non impedisce altre operazioni come:

  • Aggiornamento della configurazione del gruppo Auto Scaling.

  • Chiusura di singole istanze.

  • Operazioni di scalabilità (manuali o automatiche).

  • Sospensione o ripresa dei processi.

Per ulteriori informazioni su come gestire correttamente la chiusura dell'istanza, consulta. Progetta le tue applicazioni per gestire correttamente la chiusura delle istanze

Configurare la protezione dall'eliminazione

È possibile impostare la protezione da eliminazione quando si crea un gruppo Auto Scaling o si aggiorna l'impostazione su un gruppo Auto Scaling esistente.

Console
Per creare un gruppo Auto Scaling con protezione da eliminazione

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/e scegli Auto Scaling Groups dal pannello di navigazione.

  2. Selezionare Crea un gruppo con dimensionamento automatico).

  3. Completa i passaggi di configurazione per il tuo gruppo Auto Scaling.

  4. Nella pagina Configura dimensione e ridimensionamento del gruppo, espandi Impostazioni aggiuntive.

  5. Per la protezione da eliminazione dei gruppi Auto Scaling, scegli il livello di protezione desiderato:

    • Nessuno: nessuna protezione da eliminazione (impostazione predefinita)

    • Impedisci l'eliminazione forzata: blocca le operazioni di eliminazione forzata

    • Impedisci tutte le eliminazioni: blocca tutte le operazioni di eliminazione

  6. Completa i passaggi rimanenti per creare il tuo gruppo Auto Scaling.

Per aggiornare la protezione da eliminazione su un gruppo Auto Scaling esistente

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/e scegli Auto Scaling Groups dal pannello di navigazione.

  2. Seleziona la casella di controllo accanto al gruppo con dimensionamento automatico.

  3. Scegli Actions (Operazioni), Edit (Modifica).

  4. In Impostazioni aggiuntive, aggiorna l'impostazione di protezione da eliminazione del gruppo Auto Scaling.

  5. Scegliere Aggiorna.

AWS CLI
Per creare un gruppo Auto Scaling con protezione da eliminazione

Utilizzate il create-auto-scaling-groupcomando con il --deletion-protection parametro:

aws autoscaling create-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --launch-template LaunchTemplateName=my-template,Version='$Latest' \
    --min-size 1 \
    --max-size 5 \
    --desired-capacity 2 \
    --vpc-zone-identifier "subnet-12345678,subnet-87654321" \
    --deletion-protection prevent-force-deletion

I valori validi per --deletion-protection sono: none | prevent-force-deletion | prevent-all-deletion

Per aggiornare la protezione da eliminazione su un gruppo Auto Scaling esistente

Utilizza il comando update-auto-scaling-group:

aws autoscaling update-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --deletion-protection prevent-all-deletion
Per disattivare la protezione da eliminazione

Imposta la protezione da eliminazione sunone:

aws autoscaling update-auto-scaling-group \
    --auto-scaling-group-name my-asg \
    --deletion-protection none
Per verificare lo stato di protezione dall'eliminazione

Utilizza il comando describe-auto-scaling-groups:

aws autoscaling describe-auto-scaling-groups \
    --auto-scaling-group-names my-asg

Controlla le autorizzazioni di eliminazione con le politiche IAM

Utilizza le policy AWS Identity and Access Management (IAM) per controllare quali utenti e ruoli possono eliminare i gruppi Auto Scaling. I controlli basati su IAM forniscono un ulteriore livello di sicurezza limitando le autorizzazioni a livello di identità.

Le policy IAM sono particolarmente utili quando si desidera:

  • Consenti a diversi utenti diversi livelli di accesso alle operazioni di Auto Scaling.

  • Impedisci a utenti specifici di utilizzare l'ForceDeleteopzione anche se possono eseguire altre operazioni di Auto Scaling.

  • Limita le autorizzazioni di eliminazione a gruppi di Auto Scaling specifici.

La seguente policy consente l'eliminazione di un gruppo con dimensionamento automatico solo se il gruppo ha il tag environment=development.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": "autoscaling:DeleteAutoScalingGroup",
      "Resource": "*",
      "Condition": {
          "StringEquals": { "aws:ResourceTag/environment": "development" }
      }
   }]
}

La seguente politica utilizza la chiave autoscaling:ForceDelete condition per controllare l'accesso all'azione dell'DeleteAutoScalingGroupAPI. Ciò può impedire a determinati utenti di utilizzare l'ForceDeleteoperazione, che termina tutte le istanze Amazon EC2 all'interno di un gruppo Auto Scaling.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Action": "autoscaling:DeleteAutoScalingGroup",
        "Resource": "*",
        "Condition": {
            "Bool": {
                "autoscaling:ForceDelete": "true"
            }
        }
    }]
}

In alternativa, se non si utilizzano chiavi di condizione per controllare l'accesso ai gruppi di Auto Scaling, è possibile specificare le ARNs risorse nell'Resourceelemento per controllare l'accesso.

La seguente politica fornisce agli utenti le autorizzazioni per utilizzare l'azione DeleteAutoScalingGroup API, ma solo per i gruppi di Auto Scaling il cui nome inizia con. devteam-

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "autoscaling:DeleteAutoScalingGroup",
            "Resource": "arn:aws:autoscaling:us-east-1:111122223333:autoScalingGroup:*:autoScalingGroupName/devteam-*"
        }
    ]
}

È inoltre possibile specificarne più ARNs di uno racchiudendoli in un elenco. L'inclusione dell'UUID garantisce l'accesso al gruppo con dimensionamento automatico specifico. L'UUID di un nuovo gruppo è diverso dall'UUID di un gruppo eliminato con lo stesso nome. 

"Resource": [
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-1",
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-2",
    "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/devteam-3"
]

Per ulteriori esempi di politiche IAM per Amazon EC2 Auto Scaling, incluse le politiche che controllano le autorizzazioni di eliminazione, consulta. Esempi di policy basate su identità