#amazon-web-services #terraform #aws-organizations
Вопрос:
Я пытаюсь создать инструмент, позволяющий легко создавать и уничтожать учетные записи AWS в моей организации AWS (или, по крайней мере, удалять их из организации, если их невозможно удалить). Эти учетные записи будут заблокированы с небольшим бюджетом и уничтожены через пару недель.
Я обнаружил, что у Terraform есть специальный ресурс для этого, называемый aws_organizations_account.
Однако упоминается, что удаление этого ресурса Terraform приведет только к удалению учетной записи AWS из организации. Terraform не закроет учетную запись. Учетная запись участника должна быть заранее подготовлена к тому, чтобы стать отдельной учетной записью. Дополнительную информацию смотрите в документации организаций AWS.
Я развернул aws_organizations_account ресурс с использованием terraform, это сработало. Но когда я пытаюсь удалить этот ресурс, я получаю предупреждение о том, что The member account must be configured with a valid payment method, such as a credit card
main.tf
resource "aws_organizations_account" "account" {
name = "sandbox1"
email = "first.last sandbox1@company.com"
role_name = "myOrganizationRole"
}
Есть ли какой-нибудь способ обойти эту проблему?
Комментарии:
1. Под «проектами» вы подразумеваете учетные записи AWS?
2. да, правильно, я обновлю свой пост
Ответ №1:
Есть ли какой-нибудь способ обойти эту проблему?
К сожалению, нет. Когда вы удаляете учетную запись AWS из организации AWS, она становится обычной автономной учетной записью. Вам нужно пользовательское решение для удаления учетных записей из AWS Org, которое потребует от вас полного выполнения всех необходимых условий, перечисленных здесь. Один из них-наличие действительной контактной и платежной информации, связанной с удаляемой учетной записью.
Вы можете удалить учетную запись (это отличается от удаления из организации AWS), но это невозможно сделать из организации AWS. Учетная запись тоже должна быть закрыта изнутри, с помощью root.
Ответ №2:
У нас очень похожая ситуация (учетные записи в песочнице). Нам все еще нужно иметь возможность удалять учетные записи как членов команды за пределами совета директоров. Для учета консолидированного выставления счетов и невозможности удаления или удаления учетных записей участников мы разрешаем им оставаться, пока мы удаляем пользователей IAM и профили входа в систему. Мы делаем это так, чтобы использовать один набор данных для пользователей, а другой-для учетных записей. Это оставляет другой тип состояния, которое не выходит из строя во время удаления пользователя.
Я написал о нашей настройке терраформирования и поделился ею: https://cromwellhaus.com/leaving-aws-subaccounts-behind
Вы могли бы более подробно ознакомиться с той стороной счетов, которую вы хотели.