Ressources non supprimées lors de la mise hors service - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ressources non supprimées lors de la mise hors service

La mise hors service d'une landing zone n'inverse pas complètement le processus de configuration de la AWS Control Tower. Certaines ressources sont préservées, mais peuvent être supprimées manuellement.

AWS Organizations

Pour les clients qui n'existent pasAWS Organizationsorganisations, AWS Control Tower met en place une organisation avec deux unités organisationnelles (UO), nomméesSécuritéetEnvironnement de test pour. Lorsque vous désaffectez une zone de destination, la hiérarchie de l'organisation est préservée, comme suit :

  • Les unités organisationnelles (UO) que vous avez créées à partir de la console AWS Control Tower ne sont pas supprimées.

  • Les unités d'organisation de sécurité et de sandbox ne sont pas supprimées.

  • L'organisation n'est pas supprimée d'AWS Organizations.

  • Aucun compte dansAWS Organizations(partagés, provisionnés ou gérés) sont déplacés ou supprimés.

AWS IAM Identity Center (successor to AWS Single Sign-On) (SSO)

Pour les clients ne disposant pas d'un répertoire IAM Identity Center, AWS Control Tower configure IAM Identity Center et configure un répertoire initial. Lorsque vous désactivez votre landing zone, AWS Control Tower n'apporte aucune modification à IAM Identity Center. Si nécessaire, vous pouvez supprimer manuellement les informations du centre d'identité IAM stockées dans votre compte de gestion. Plus spécifiquement, ces éléments ne sont pas concernés par la désaffectation :

  • Les utilisateurs créés avec l'usine de comptes ne sont pas supprimés.

  • Les groupes créés par la configuration d'AWS Control Tower ne sont pas supprimés.

  • Les ensembles d'autorisations créés par AWS Control Tower ne sont pas supprimés.

  • Les associations entre les comptes AWS et les ensembles d'autorisations IAM Identity Center ne sont pas supprimées.

  • Les répertoires IAM Identity Center ne sont pas modifiés.

Compartiments Simple Storage Service (Amazon S3)

Lors de la configuration, AWS Control Tower crée des compartiments dans le compte de journalisation pour la journalisation et l'accès à la journalisation. Lorsque vous désaffectez la zone de destination, les ressources suivantes ne sont pas supprimées :

  • Les compartiments S3 de journalisation et d'accès à la journalisation du compte de journalisation ne sont pas supprimés.

  • Le contenu des compartiments de journalisation et d'accès à la journalisation ne sont pas supprimés.

Comptes partagés

Deux comptes partagés (Audit et Log Archive) sont créés dans l'unité d'organisation de sécurité lors de la configuration de la AWS Control Tower. Lorsque vous désaffectez la zone de destination :

  • Les comptes partagés qui ont été créés lors de la configuration d'AWS Control Tower ne sont pas fermés.

  • Le rôle IAM OrganizationAccountAccessRole est recréé pour s'aligner sur la configuration standard d'AWS Organizations.

  • Le rôle AWSControlTowerExecution est supprimé.

Comptes provisionnés

Les clients d'AWS Control Tower peuvent utiliser Account Factory pour créer de nouveaux comptes AWS. Lorsque vous désaffectez la zone de destination :

  • Les comptes provisionnés que vous avez créés avec Account Factory ne sont pas fermés.

  • Les produits provisionnés dans AWS Service Catalog ne sont pas supprimés. Si vous les éliminez en les résiliant, leurs comptes sont transférés dans leUO racine.

  • Le VPC créé par AWS Control Tower n'est pas supprimé, ainsi que l'AWS associé CloudFormation ensemble de piles (BP_ACCOUNT_FACTORY_VPC) n'est pas supprimé.

  • Le rôle IAM OrganizationAccountAccessRole est recréé pour s'aligner sur la configuration standard d'AWS Organizations.

  • Le rôle AWSControlTowerExecution est supprimé.

CloudWatch Groupe de journaux

UN CloudWatch Groupe de journaux,aws-controltower/CloudTrailLogs, est créé dans le cadre du plan nomméAWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT. Ce groupe de journaux n'est pas supprimé. Le plan est supprimé, tandis que les ressources sont conservées.

  • Ce groupe de journaux doit être supprimé manuellement avant de configurer une autre zone de destination.

Note

Les clients de la landing zone 3.0 et des versions ultérieures n'ont pas besoin de supprimer leur compte inscrit individuel CloudTrail journaux et CloudTrail enregistre les rôles, car ils sont créés uniquement dans le compte de gestion, pour le suivi au niveau de l'organisation.

Les procédures permettant de supprimer des ressources de la AWS Control Tower sont indiquées dansAWS Control Tower ressources.