Ressources non supprimées lors de la mise hors service - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ressources non supprimées lors de la mise hors service

La mise hors service d'une zone d'atterrissage n'inverse pas complètement le processus de configuration d'AWS Control Tower. Certaines ressources sont préservées, mais peuvent être supprimées manuellement.

AWS Organizations

Pour les clients n'ayant pas d' AWS Organizations organisation existante, AWS Control Tower met en place une organisation composée de deux unités organisationnelles (UO), nommées Security et Sandbox. Lorsque vous désaffectez une zone de destination, la hiérarchie de l'organisation est préservée, comme suit :

  • Les unités organisationnelles (UO) que vous avez créées à partir de la console AWS Control Tower ne sont pas supprimées.

  • Les unités d'organisation de sécurité et de sandbox ne sont pas supprimées.

  • L'organisation n'est pas supprimée de AWS Organizations.

  • Aucun compte AWS Organizations (partagé, provisionné ou géré) n'est déplacé ou supprimé.

AWS IAM Identity Center (SSO)

Pour les clients ne disposant pas d'un annuaire IAM Identity Center existant, AWS Control Tower met en place IAM Identity Center et configure un répertoire initial. Lorsque vous mettez hors service votre zone de landing zone, AWS Control Tower n'apporte aucune modification à IAM Identity Center. Si nécessaire, vous pouvez supprimer manuellement les informations du centre d'identité IAM stockées dans votre compte de gestion. Plus spécifiquement, ces éléments ne sont pas concernés par la désaffectation :

  • Les utilisateurs créés avec l'usine de comptes ne sont pas supprimés.

  • Les groupes créés par la configuration d'AWS Control Tower ne sont pas supprimés.

  • Les ensembles d'autorisations créés par AWS Control Tower ne sont pas supprimés.

  • Les associations entre les comptes AWS et les ensembles d'autorisations IAM Identity Center ne sont pas supprimées.

  • Les annuaires de l'IAM Identity Center ne sont pas modifiés.

Rôles

Lors de la configuration, AWS Control Tower crée certains rôles pour vous si vous utilisez la console, ou vous demande de créer ces rôles si vous configurez votre zone de landing zone via les API. Lorsque vous désactivez votre zone d'atterrissage, les rôles suivants ne sont pas supprimés :

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Compartiments Simple Storage Service (Amazon S3)

Lors de la configuration, AWS Control Tower crée des compartiments dans le compte de journalisation pour la journalisation et pour l'accès à la journalisation. Lorsque vous désaffectez la zone de destination, les ressources suivantes ne sont pas supprimées :

  • Les compartiments S3 de journalisation et d'accès à la journalisation du compte de journalisation ne sont pas supprimés.

  • Le contenu des compartiments de journalisation et d'accès à la journalisation ne sont pas supprimés.

Comptes partagés

Deux comptes partagés (Audit et Log Archive) sont créés dans l'unité d'organisation de sécurité lors de la configuration d'AWS Control Tower. Lorsque vous désaffectez la zone de destination :

  • Les comptes partagés créés lors de la configuration d'AWS Control Tower ne sont pas fermés.

  • Le rôle OrganizationAccountAccessRole IAM est recréé pour s'aligner sur la configuration standard AWS Organizations .

  • Le rôle AWSControlTowerExecution est supprimé.

Comptes provisionnés

Les clients d'AWS Control Tower peuvent utiliser Account Factory pour créer de nouveaux comptes AWS. Lorsque vous désaffectez la zone de destination :

  • Les comptes provisionnés que vous avez créés avec Account Factory ne sont pas fermés.

  • Les produits approvisionnés ne AWS Service Catalog sont pas supprimés. Si vous les nettoyez en les résiliant, leurs comptes sont transférés vers l'unité d'organisation racine.

  • Le VPC créé par AWS Control Tower n'est pas supprimé, et le AWS CloudFormation stack set (BP_ACCOUNT_FACTORY_VPC) associé n'est pas supprimé.

  • Le rôle OrganizationAccountAccessRole IAM est recréé pour s'aligner sur la configuration standard AWS Organizations .

  • Le rôle AWSControlTowerExecution est supprimé.

CloudWatch Logs Log Group

Un groupe de CloudWatch journaux Logs est créé dans le cadre du plan nomméAWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT. aws-controltower/CloudTrailLogs Ce groupe de journaux n'est pas supprimé. Le plan est supprimé, tandis que les ressources sont conservées.

  • Ce groupe de journaux doit être supprimé manuellement avant de configurer une autre zone de destination.

Note

Les clients utilisant la landing zone 3.0 et les versions ultérieures n'ont pas besoin de supprimer les CloudTrail CloudTrail journaux et les rôles de journal de leur compte inscrit individuel, car ceux-ci sont créés uniquement dans le compte de gestion, pour le suivi au niveau de l'organisation.

À partir de la version 3.2 de landing zone, AWS Control Tower crée une EventBridge règle, appeléeAWSControlTowerManagedRule. Cette règle est créée dans chaque compte membre, pour toutes les régions gouvernées. La règle n'est pas supprimée automatiquement lors de la mise hors service. Vous devez donc la supprimer manuellement des comptes partagés et membres de toutes les régions gouvernées avant de pouvoir configurer une zone d'atterrissage dans une nouvelle région.

Les procédures de suppression des ressources AWS Control Tower sont indiquées dansGérer les ressources d'AWS Control Tower.