Situatie
Avem un cont AWS sandbox pentru a încerca lucrurile. Nu este pentru producție, ci doar pentru a juca cu toate jucăriile pe care AWS le oferă. Vrem să încurajăm pe toată lumea să exploreze și să învețe.
Avem multe conturi AWS în patrimoniul nostru, inclusiv, dar fără a se limita la,
- cutie cu nisip
- dezvoltare
- Test
- producție
Responsabilitatea financiară și de mediu este importantă pentru noi.
Cerinţă
- Trebuie sa
- distruge automat totul din contul sandbox.
- să fie capabil doar să alerge mai departe acest cont anume.
- Ar trebui să
- distruge o instanță după X ore.
- Ar putea
Soluții potențiale
aws-nuke
Am mai văzut aws-nuke. Dacă am rula acest lucru la miezul nopții miercurea și duminica, toate cazurile ar fi terminate. Aceasta pare o soluție grozavă, totuși este și oarecum periculoasă, deoarece ar putea opri instanțe pe alte conturi greșeala mea. De asemenea, funcționează în prezent pe o listă de blocare nucleare, mai degrabă decât pe o listă explicită de permise nucleare, care este o altă problemă potențială de securitate. M-am autentificat aws-nuke#751 pentru a aborda acest lucru.
Politica de funcționare maximă
Cealaltă metodă pe care o caut este să folosesc o politică (IAM?) pentru a seta timpul de funcționare maxim pentru tot. Simt că acest lucru are mai puține șanse să se scurgă în celelalte conturi ale noastre și, de asemenea, are potențialul de a fi mai nuanțat. Nu sunt sigur,
- cum să implementezi cel mai bine acest lucru
- indiferent dacă trebuie să fie rulat într-un lambda sau poate fi doar o politică
- fie aceasta este de fapt, mai sigur decât rularea aws-nuke prin proprietate.
Aș fi extrem de recunoscător pentru orice indicații.
