Sumber daya tidak dihapus selama penonaktifan - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sumber daya tidak dihapus selama penonaktifan

Menonaktifkan landing zone tidak sepenuhnya membalikkan proses penyiapan AWS Control Tower. Sumber daya tertentu tetap ada, yang dapat dihapus secara manual.

AWS Organizations

Untuk pelanggan tanpa AWS Organizations organisasi yang ada, AWS Control Tower menyiapkan organisasi dengan dua unit organisasi (OU), bernama Security dan Sandbox. Saat Anda menonaktifkan landing zone Anda, hierarki organisasi dipertahankan, sebagai berikut:

  • Unit Organisasi (OU) yang Anda buat dari konsol AWS Control Tower tidak dihapus.

  • Keamanan dan Sandbox OU tidak dihapus.

  • Organisasi tidak dihapus dari AWS Organizations.

  • Tidak ada akun di AWS Organizations (bersama, disediakan, atau manajemen) yang dipindahkan atau dihapus.

AWS IAM Identity Center (SSO)

Untuk pelanggan tanpa direktori IAM Identity Center yang ada, AWS Control Tower menyiapkan IAM Identity Center dan mengonfigurasi direktori awal. Saat Anda menonaktifkan landing zone, AWS Control Tower tidak membuat perubahan pada IAM Identity Center. Jika diperlukan, Anda dapat menghapus informasi Pusat Identitas IAM yang disimpan di akun manajemen Anda secara manual. Secara khusus, area ini tidak berubah dengan menonaktifkan:

  • Pengguna yang dibuat dengan Account Factory tidak akan dihapus.

  • Grup yang dibuat oleh penyiapan AWS Control Tower tidak dihapus.

  • Set izin yang dibuat oleh AWS Control Tower tidak dihapus.

  • Asosiasi antara akun AWS dan kumpulan izin Pusat Identitas IAM tidak dihapus.

  • Direktori IAM Identity Center tidak diubah.

Peran

Selama penyiapan, AWS Control Tower membuat peran tertentu untuk Anda jika Anda menggunakan konsol, atau meminta Anda untuk membuat peran ini jika Anda menyiapkan landing zone melalui API. Saat Anda menonaktifkan landing zone, peran berikut tidak akan dihapus:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Bucket Amazon S3

Selama penyiapan, AWS Control Tower membuat bucket di akun logging untuk logging dan akses logging. Saat Anda menonaktifkan landing zone, sumber daya berikut tidak akan dihapus:

  • Logging dan logging access S3 bucket di akun logging tidak dihapus.

  • Isi bucket akses logging dan logging tidak dihapus.

Akun Bersama

Dua akun bersama (Audit dan Arsip Log) dibuat di OU Keamanan selama penyiapan AWS Control Tower. Saat Anda menonaktifkan landing zone Anda:

  • Akun bersama yang dibuat selama penyiapan AWS Control Tower tidak ditutup.

  • Peran OrganizationAccountAccessRole IAM dibuat ulang untuk menyelaraskan dengan konfigurasi standar. AWS Organizations

  • AWSControlTowerExecutionPeran dihapus.

Akun yang Disediakan

Pelanggan AWS Control Tower dapat menggunakan pabrik akun untuk membuat akun AWS baru. Saat Anda menonaktifkan landing zone Anda:

  • Akun yang disediakan yang Anda buat dengan Account Factory tidak ditutup.

  • Produk yang disediakan tidak AWS Service Catalog dihapus. Jika Anda membersihkannya dengan menghentikannya, akun mereka dipindahkan ke Root OU.

  • VPC yang dibuat AWS Control Tower tidak dihapus, dan AWS CloudFormation stack set (BP_ACCOUNT_FACTORY_VPC) terkait tidak dihapus.

  • Peran OrganizationAccountAccessRole IAM dibuat ulang untuk menyelaraskan dengan konfigurasi standar. AWS Organizations

  • AWSControlTowerExecutionPeran dihapus.

CloudWatch Grup Log Log

Sebuah grup CloudWatch log log,aws-controltower/CloudTrailLogs, dibuat sebagai bagian dari cetak biru bernama. AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT Grup log ini tidak dihapus. Sebaliknya, cetak biru dihapus dan sumber daya dipertahankan.

  • Grup log ini harus dihapus secara manual sebelum Anda mengatur landing zone lain.

catatan

Pelanggan di landing zone 3.0 dan yang lebih baru tidak perlu menghapus log akun dan CloudTrail CloudTrail log peran masing-masing yang terdaftar, karena ini dibuat di akun manajemen saja, untuk jejak tingkat organisasi.

Dimulai dengan landing zone versi 3.2, AWS Control Tower membuat EventBridge aturan Amazon, yang disebutAWSControlTowerManagedRule. Aturan ini dibuat di setiap akun anggota, untuk semua Wilayah yang diatur. Aturan tidak dihapus secara otomatis selama penonaktifan, jadi Anda harus menghapusnya secara manual dari akun bersama dan anggota untuk semua Wilayah yang diatur sebelum Anda dapat mengatur landing zone di Wilayah baru.

Prosedur untuk cara menghapus sumber daya AWS Control Tower diberikan dalamKelola Sumber Daya AWS Control Tower.