Вопрос или проблема
Я недавно унаследовал аккаунт AWS, и там есть старая, устаревшая VPC, которую я пытаюсь удалить. VPC содержит несколько ресурсов, которые, по-видимому, принадлежат другому аккаунту — одна группа безопасности и два ENI. Судя по описаниям, ENI, похоже, связаны с Lambda, но они не используются и не присоединены ни к чему. SG присоединена к ENI. Все три показывают внешний идентификатор аккаунта в поле ‘Owner’. Я не могу удалить их, потому что я не “владею” ими, и в результате я не могу удалить подсети, с которыми они связаны, или родительскую VPC.
Я не понимаю, как изначально эти ресурсы оказались в этом аккаунте, и не уверен, что понимаю, как ENI может быть передан из другого аккаунта или принадлежать ему. Сначала я подумал, что это мог быть другой аккаунт в той же AWS организации, но я связался с нашими сотрудниками IT, и они заверили меня, что в нашей AWS организации нет такого идентификатора аккаунта.
Нет соединений VPC peering с другими VPC, где подозрительный идентификатор аккаунта является либо запрашивающим, либо принимающим. Нет устаревших правил SG, указанных для обсуждаемой VPC. Нет переходных шлюзов, касающихся этой VPC. В этой VPC нет конечных точек VPC. В Resource Access Manager ничего не делится.
Я не знаю, кому принадлежит внешний аккаунт, и, насколько я понимаю, Amazon не предоставляет информацию о аккаунтах, которые вам не принадлежат.
Что я могу сделать, чтобы избавиться от этих ресурсов? Что еще я могу проверить?
Спасибо.
Ответ или решение
Если вы оказались в ситуации, когда необходимо удалить ресурсы AWS, принадлежащие стороннему учётному аккаунту, важно подойти к решению этой проблемы комплексно и профессионально. Рассмотрим шаги, которые могут помочь вам завершить задачу.
Определение проблемы
Вы унаследовали AWS аккаунт с устаревшим VPC, который нужно ликвидировать. Однако, внутри VPC находятся ресурсы (одна группа безопасности и два сетевых интерфейса), принадлежащие другому аккаунту. Эти ресурсы блокируют возможность удаления подсетей и самого VPC.
Анализ ситуации
-
Идентификация владельца и роли ресурсов: Установите, какие именно ресурсы известны как принадлежащие внешнему аккаунту. В данном случае, речь идёт о ENI, связанных, возможно, с устаревшими функциями Lambda, и группой безопасности, привязанной к этим ENI.
-
Поиск источника и назначения ресурсов: Изучите историю и логи аккаунта, чтобы понять, как данные ресурсы могли попасть в ваш VPC. Это могут быть остатки ресурсов от предыдущих проектов или интеграций с другими аккаунтами.
-
Организационные ресурсы: Возможно, ресурсы связаны с действующими партнёрами или проектами, которые находятся вне вашего AWS Organization. В этом случае, свяжитесь с партнёрами или проверьте соглашения, которые могли бы объяснить нахождение этих ресурсов.
-
Использование Resource Access Manager (RAM): Убедитесь, что ресурсы действительно не были расшарены посредством RAM для возможности взаимодействия между аккаунтами.
Решение проблемы
-
Связывание с владельцем аккаунта: Поскольку AWS не предоставляет информацию о владельцах других аккаунтов, попробуйте обратиться через известных контрагентов или совместные проекты, если таковые у вас были.
-
Использование официальной поддержки AWS: Направьте запрос в службу поддержки AWS. Объясните ситуацию и попросите содействия в идентификации и решении проблемы с ресурсами чужого аккаунта.
-
Мониторинг и аудит: Убедитесь, что в аккаунте настроены политики мониторинга, чтобы подобные ситуации не повторялись, и что вся инфраструктура управляется и обновляется должным образом.
-
Удаление ресурсов через служебные скрипты и консоль: Если у вас появится доступ к этим ресурсам через поддержку AWS или другой метод, удалите их, убедившись, что они больше не мешают Вами управляемым аспектам инфраструктуры.
Поддержка и предотвращение будущих случаев
После того как проблема будет решена, целесообразно пересмотреть процессы управления вашими ресурсами AWS. Убедитесь, что проводятся регулярные аудиты всех связанных ресурсов, и что инфраструктура обновляется в соответствии с новыми требованиями безопасности и управляемости. Это поможет избежать повторных проблем с иностранными ресурсами в будущем.