Los recursos no se eliminaron durante el desmantelamiento - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Los recursos no se eliminaron durante el desmantelamiento

El desmantelamiento de una landing zone no anula por completo el proceso de configuración de la AWS Control Tower. Quedan algunos recursos, que pueden eliminarse manualmente.

AWS Organizations

Para los clientes sin AWS Organizations organizaciones existentes, AWS Control Tower configura una organización con dos unidades organizativas (OU), denominadas Security y Sandbox. Cuando se retira la zona de inicio, se mantiene la jerarquía de la organización, de la siguiente manera:

  • Las unidades organizativas (OU) que creó desde la consola de AWS Control Tower no se eliminan.

  • Las unidades organizativas de seguridad y Sandbox no se eliminan.

  • La organización no se elimina de AWS Organizations.

  • No se mueve ni elimina ninguna cuenta AWS Organizations (compartida, aprovisionada o de gestión).

AWS IAM Identity Center (SSO)

Para los clientes que no tienen un directorio de centros de identidad de IAM existente, AWS Control Tower configura el centro de identidades de IAM y configura un directorio inicial. Al desmantelar su landing zone, AWS Control Tower no realiza cambios en el IAM Identity Center. Si es necesario, puede eliminar manualmente la información del centro de identidad de IAM almacenada en su cuenta de administración. En particular, estas zonas no se modifican mediante la retirada:

  • Los usuarios creados con Account Factory no se quitan.

  • Los grupos creados mediante la configuración de la Torre de Control de AWS no se eliminan.

  • Los conjuntos de permisos creados por AWS Control Tower no se eliminan.

  • No se eliminan las asociaciones entre las cuentas de AWS y los conjuntos de permisos del IAM Identity Center.

  • Los directorios del IAM Identity Center no se modifican.

Roles

Durante la configuración, AWS Control Tower le crea determinadas funciones si utiliza la consola, o le pide que las cree si configura su landing zone a través de las API. Al desmantelar tu landing zone, no se eliminan las siguientes funciones:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Buckets de Amazon S3

Durante la configuración, AWS Control Tower crea depósitos en la cuenta de registro para el registro y para el acceso al registro. Al retirar la zona de inicio, no se quitan los siguientes recursos:

  • No se quitan los buckets de S3 de registro y acceso de registro en la cuenta de registro.

  • El contenido de los buckets de acceso de registro y registro no se elimina.

Cuentas compartidas

Durante la configuración de la Torre de Control de AWS, se crean dos cuentas compartidas (Audit y Log Archive) en la unidad organizativa de seguridad. Al retirar la zona de inicio:

  • Las cuentas compartidas que se crearon durante la configuración de la Torre de Control de AWS no se cierran.

  • La función OrganizationAccountAccessRole de IAM se recrea para alinearla con la configuración estándar AWS Organizations .

  • Se quita el rol de AWSControlTowerExecution.

Cuentas aprovisionadas

Los clientes de AWS Control Tower pueden usar la fábrica de cuentas para crear nuevas cuentas de AWS. Al retirar la zona de inicio:

  • Las cuentas aprovisionadas que creó con Account Factory no están cerradas.

  • Los productos aprovisionados no AWS Service Catalog se eliminan. Si los eliminas cancelándolos, sus cuentas se trasladarán a la unidad organizativa raíz.

  • La VPC que creó AWS Control Tower no se elimina y el conjunto de AWS CloudFormation pilas asociado (BP_ACCOUNT_FACTORY_VPC) no se elimina.

  • La función de OrganizationAccountAccessRole IAM se recrea para alinearla con la configuración estándar. AWS Organizations

  • Se quita el rol de AWSControlTowerExecution.

CloudWatch Registros: Grupo de registros

Se crea un grupo de CloudWatch registrosaws-controltower/CloudTrailLogs,, como parte del esquema denominadoAWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT. Este grupo de registro no se quita. En su lugar, se elimina el proyecto y se conservan los recursos.

  • Este grupo de registro debe eliminarse manualmente antes de configurar otra zona de inicio.

nota

Los clientes de landing zone 3.0 y versiones posteriores no necesitan eliminar los CloudTrail CloudTrail registros y las funciones de registro de sus cuentas individuales inscritas, ya que estos se crean únicamente en la cuenta de administración, para el seguimiento a nivel de la organización.

A partir de la versión 3.2 de landing zone, AWS Control Tower crea una EventBridge regla de Amazon llamadaAWSControlTowerManagedRule. Esta regla se crea en la cuenta de cada miembro, para todas las regiones gobernadas. La regla no se elimina automáticamente durante el desmantelamiento, por lo que debes eliminarla manualmente de las cuentas compartidas y de los miembros de todas las regiones gobernadas antes de poder configurar una landing zone en una nueva región.

Los procedimientos para eliminar los recursos de la Torre de Control de AWS se detallan enAdministre los recursos de AWS Control Tower.