Tình huống
Chúng tôi có một tài khoản AWS hộp cát để thử mọi thứ. Nó không dành cho sản xuất, hoàn toàn chỉ để chơi xung quanh với tất cả đồ chơi mà AWS cung cấp. Chúng tôi muốn khuyến khích mọi người khám phá và học hỏi.
Chúng tôi có nhiều tài khoản AWS trong tài sản của mình, bao gồm nhưng không giới hạn ở,
- hộp cát
- phát triển
- kiểm tra
- sản lượng
Trách nhiệm tài chính và môi trường là quan trọng đối với chúng tôi.
Yêu cầu
- Phải
- tự động phá hủy mọi thứ trong tài khoản sandbox.
- chỉ có khả năng chạy trên cái này tài khoản cụ thể.
- Nên
- hủy một thể hiện sau x giờ.
- Có thể
Các giải pháp tiềm năng
aws-nuke
Tôi đã từng thấy aws-nuke. Nếu chúng tôi chạy tính năng này vào lúc nửa đêm vào Thứ Tư và Chủ nhật, nó sẽ chấm dứt tất cả các trường hợp. Điều này nghe có vẻ là một giải pháp tuyệt vời, tuy nhiên nó cũng hơi nguy hiểm vì nó có thể chấm dứt các phiên bản trên các tài khoản khác do lỗi của tôi. Nó hiện cũng hoạt động trên danh sách khối-nuke, thay vì danh sách cho phép-nuke rõ ràng, đây là một vấn đề bảo mật tiềm ẩn khác. tôi đã đăng nhập aws-nuke#751 Để giải quyết vấn đề này.
Chính sách thời gian hoạt động tối đa
Phương pháp khác mà tôi đang xem xét là sử dụng chính sách (IAM?) Để đặt thời gian hoạt động tối đa cho mọi thứ. Tôi cảm thấy điều này ít có khả năng rò rỉ vào các tài khoản khác của chúng tôi hơn và cũng có khả năng mang nhiều sắc thái hơn. Tôi không chắc,
- cách tốt nhất để thực hiện điều này
- liệu nó có cần được chạy trong lambda hay chỉ có thể là một chính sách
- nếu thế này Là thực sự an toàn hơn là chạy aws-nuke khắp khu đất.
Tôi sẽ rất biết ơn cho bất kỳ con trỏ.
