[AWS] aws 계정 해지 전, aws-nuke로 간편하게 자원 일괄 삭제하기

☄️ 개요

운영하는 서비스가 종료되어 AWS 계정을 해지하기 전 해당 AWS 계정에 있는 모든 리소스를 삭제하는 작업이 필요했다. AWS 계정 내 존재하는 한 시스템을 종료하려 하면 EC2 및 RDS 삭제뿐만 아니라 스냅샷, 볼륨, 연결된 보안 그룹, 등등 함께 삭제를 고려해야할 자원들이 많다. 계정에 생성된 리소스를 한 눈에 파악하기 쉽지 않기 때문에 누락되는 자원들도 생긴다. 뿐만 아니라 선후관계가 있기 때문에 순서를 고려해서 삭제해야 하는 자원들도 존재하기 때문에 꽤 번거로운 작업이다. IaC를 통해 만들어진 아키텍처라면 destroy 명령어 및 스택 삭제 등으로 리소스 삭제를 할 수도 있겠지만, 프로비저닝 이후 계속해서 sync를 맞추어 운영하고 있었던 게 아니라면 누락되는 자원들도 존재할 것이다. 보다 간편한 삭제를 위해 회사 동료가 추천해준 AWS-nuke를 이용하기로 했다.

💣 AWS-nuke란?
nuke는 핵무기라는 뜻으로 AWS 계정과 AWS 리전의 거의 모든 리소스를 삭제하는 오픈 소스 도구이다. AWS-nuke는 공식 Github:README에서 모든 리소스를 삭제해도 괜찮은 AWS 계정에서만 aws-nuke를 실행하도록 강력히 권고하고 있다. 주의해서 사용하도록 하자.

 

 

🌎 환경

• macOS Monterey

 

---

 

🔫 사용 방법

1. aws-nuke 설치

brew install aws-nuke

*Windows 또는 Linux의 경우에는 공식 Github:Releases에서 압축 파일을 다운 받을 수 있다.

 

2. Account Alias 설정

AWS-nuke 삭제 실행 시, aws account alias를 두번 입력하도록 하여 삭제를 재확인하기 때문에 aws accoung alias가 설정되어 있어야 한다. alias에는 "prod" 문자열을 포함하지 않아야 한다. AWS Account는 IAM 콘솔 또는 CLI를 통해 설정할 수 있다. 

aws iam create-account-alias --account-alias {account-alias}

 

3. AWS Credentials 설정

삭제를 위해 admin 권한이 있는 AWS IAM 유저를 이용하였다. aws-nuke를 실행할 로컬의 ~/.aws/credentials 파일에 aws_access_key_id와 aws_secret_access_key를 저장하고 ~/.aws/config 파일에 profile을 지정하였다.

 

4. Config 파일 생성

삭제를 진행할 리전과 계정을 명시하는 config 파일을 생성한다. 

regions:
  - ap-northeast-2 

account-blocklist:
  - "999999999999"

accounts:
  "{Account-ID}": {}

 

account-blocklist는 삭제하지 않을 account ID 리스트를 입력하는 속성으로, 삭제 실수 방지를 위해 최소 1개의 account ID에 대해 명시가 필요하다. config file 내 account-blocklist가 없는 경우 하기와 같은 에러가 발생하여 임의의 id "999999999999"를 입력하였다.

Error: The config file contains an empty blocklist. For safety reasons you need to specify at least one account ID. This should be your production account.

 

5. 삭제 가능한 자원 목록 확인하기

aws-nuke 명령어는 단지 nukeable한 리소스만 리스트하기 때문에 안심하고 수행한다. 리스트 출력 또한 alias 입력은 필요하다.

aws-nuke -c config.yaml --profile {3에서 지정한 profile}

 

6. 일괄 삭제하기

실제로 자원들을 삭제하기 위해서는 --no-dry-run 옵션을 추가해야 한다.

aws-nuke -c config.yaml --no-dry-run --profile {3에서 설정한 profile}

--no-dry-run 시 alias 입력 (1)

--no-dry-run 시 alias 입력 (2)

--no-dry-run을 통해 리소스 삭제 시도 시, alias 2번 입력하도록 하여 삭제하고자 하는 계정을 재확인한다. 첫번째는 첫번째 그림과 같이 명령어 실행 직후, 두번째는 두번째 그림과 같이 nukeable한 자원을 모두 리스트한 뒤 alias를 입력한다.

 

7. 검토하기

ap-northeast-2 - RDSInstance - {DB-Instance} - [AvailabilityZone: "ap-northeast-2b", DeletionProtection: "true", Engine: "postgres", EngineVersion: "12.14", Identifier: "{DB-Instance}", InstanceClass: "{db-instance-type}", InstanceCreateTime: "2022-10-01T06:36:56Z", MultiAZ: "false", PubliclyAccessible: "false", tag:aws:cloudformation:logical-id: "{DB-Instance}", tag:aws:cloudformation:stack-id: "arn:aws:cloudformation:ap-northeast-2:{Account-ID}:{CF-Stack}", tag:aws:cloudformation:stack-name: "{Stack-Name}"] - failed

로그에서 위와 같이 삭제에 실패한 자원들을 발견했다. 대체로 Termination Protection(종료 보호)를 활성화한 EC2 인스턴스 및 Deletion Protection(삭제 보호)를 활성화한 RDS 인스턴스들이었으며 해당 인스턴스에서 보호를 비활성화한 후 다시 aws-nuke --no-dry-run 명령어를 수행하니 정상적으로 삭제가 되었다.

한번 더 명령어를 실행하여 더 이상 삭제할 리소스가 없다는 출력을 받았다. 실제로 자원들이 삭제됐는지 확인하기 위해 콘솔에 들어가서 메인 서비스들을 확인했는데, Route53 호스팅 영역은 삭제되지 않았다. 공식 Github: Resources에는 Route53HostedZone이라는 리소스가 존재하는데 왜 삭제가 되지 않은지는 의문이다. 공식 Github: config-example을 참고해 config.yaml 파일에 아래와 같이 타겟을 지정하는 코드를 추가하였는데도 삭제할 리소스가 없다는 출력이 나와 Route53의 hosted zone은 수동으로 삭제해주었다.

resource-types:
  targets:
  - Route53HostedZone

 

 

💡 느낀 점

수동으로 Route53을 삭제해주긴 했지만, 명령어 하나로 AWS Account 내 자원들을 일괄로 삭제할 수 있어 너무 편리했다. 그렇기 때문에 한편으로는 위험한 툴이기도 하지만, 계정 해지가 필요한 경우에는 종종 aws-nuke를 이용할 것 같다.

---

 

🔗 참고 링크

• AWS Docs: Automate deletion of AWS resources by using aws-nuke
• Github: aws-nuke
• 기술블로그: [AWS] aws-nuke로 리소스 일괄삭제