Предотвратить остановку экземпляра AWS

Question

Предотвратить остановку экземпляра AWS

Я хотел бы перехватить событие остановки / завершения EC2. Как только событие пойман в ловушку, я смогу остановить событие. Остановить событие можно только с определенного IP-адреса. Я хотел бы автоматизировать рабочий процесс.

Я попытался использовать SNS и зарегистрировать конечную точку HTTP. Но не удалось остановить событие остановки.

0

java amazon-web-services amazon-ec2 amazon-sns aws-sdk-java-2.0

Источник

user4155797 21 фев '19 в 11:23

4 ответа

Другие вопросы по тегам java amazon-web-services amazon-ec2 amazon-sns aws-sdk-java-2.0

user1132178 21 фев '19 в 11:53 2019-02-21 11:53 · Answer 1 · 2019-02-21 11:53

Вы можете добавить Termination Protection в свой экземпляр EC2. Таким образом, вы можете контролировать, может ли экземпляр быть или не может быть удален через CLI или API. Вы можете добавить роль IAM, у которой есть доступ для вызова CLI или API.

Защита от прерывания не мешает пользователю инициировать отключение системы от экземпляра. Возможно, вам придется взглянуть на это тоже.

Посмотрите документацию для получения дополнительной информации.

user8951071 21 фев '19 в 11:42 2019-02-21 11:42 · Answer 2 · 2019-02-21 11:42

Сначала добавьте защиту от прерывания в вашем экземпляре. затем вы должны включить cloud-trail для регистрации вызовов API, чтобы увидеть неудачные вызовы пользователя. Вы можете полностью запретить определенным пользователям прекращение работы экземпляра с помощью IAM. не стоит полагаться на IP.

user174777 21 фев '19 в 22:57 2019-02-21 22:57 · Answer 3 · 2019-02-21 22:57

Нет возможности "ловить" операции.

Вместо этого вы должны ограничить количество людей (пользователей IAM), которые имеют разрешение на выполнение команд Stop или Terminate.

По умолчанию пользователи IAM не имеют разрешения. Затем они получают разрешение на выполнение операций в AWS. Если вы не хотите, чтобы люди использовали команду "Стоп", не давайте им ec2:StopInstances разрешения или, по крайней мере, ограничить разрешения только ограниченным набором экземпляров, для которых они могут выполнить команду.

Например, может быть возможно предоставить разрешение для экземпляров Stop, если экземпляры не имеют определенного тега.

user1695906 21 фев '19 в 21:46 2019-02-21 21:46 · Answer 4 · 2019-02-21 21:46

Для этих операций API нет хуков.

Экземпляр также может быть остановлен внутри экземпляра (например, sudo halt или же sudo poweroff), и EC2 остановит или даже прекратит работу экземпляра в этом случае, основываясь на InstanceInitiatedShutdownBehaviorатрибут, который можно установить для остановки (по умолчанию) или завершения экземпляра. Фактически, экземпляр с этой опцией, установленной для завершения экземпляра, также защищен от "защиты от прерывания", которая является атрибутом, который блокирует завершение только через API (или консоль, которая также вызывает API).

Тем не менее,автоматическое масштабирование EC2 имеет ловушки жизненного цикла, которые позволяют вам перехватывать предлагаемую остановку или завершение автоматического масштабирования до того, как вызовы API EC2 будут выполнены с помощью автоматического масштабирования. Это не похоже на то, что вы ищете.