Landing Zone の廃止 - AWS Control Tower

Landing Zone の廃止

AWS Control Tower では、Landing Zone と呼ばれる安全なマルチアカウント AWS 環境を設定し、管理できます。AWS Control Tower が配置したすべてのリソースをクリーンアップするプロセスは、Landing Zone の廃止と呼ばれます。

ほぼ自動化されたプロセスを使用して Landing Zone を廃止するには、AWS サポートに問い合わせ、さらなる指示を仰いでください。廃止処理中に実行する全アクションの一覧に関しては、「廃止プロセスの概要」を参照してください。

廃止処理によって、データと既存の AWS Organizations に変更がない点は次のとおりです。

  • データは削除されず、AWS Control Tower によって作成された Landing Zone の一部のみが削除されます。

  • 廃止処理の完了後は、S3 バケットや Amazon CloudWatch Logs ロググループなどの一部のリソースアーティファクトが残ります。これらのリソースは、別の Landing Zone を設定する前に、手動で削除する必要があります。これにより、特定のリソースの保守に伴い派生する可能性があるコストを回避できます。

  • 自動廃止を使用して、部分的にセットアップされた Landing Zone を削除することはできません。Landing Zone のセットアッププロセスが失敗した場合、自動廃止を有効にするには、障害状態を解決してセットアップを完了する必要があります。または、リソースを個別に手動で削除する必要があります。

Landing Zone の廃止は、重大な影響を引き起こす処理であり、元に戻すことはできません。 AWS Control Tower によって実行される廃止アクション、および廃止後に残るアーティファクトについては、次のセクションで説明します。

重要

この廃止プロセスは、Landing Zone の使用を停止する場合にのみ実行することを強くお勧めします。既存の Landing Zone を廃止した後に再作成することはできません。

廃止後に必要な手動クリーンアップタスク

  • Landing Zone を廃止した後に新しい Landing Zone を作成する場合は、ロギングアカウントと監査アカウントに異なる電子メールアドレスを指定する必要があります。

  • 別の Landing Zone を設定する前に、aws-controltower/CloudTrailLogs という CloudWatch Logs ロググループを手動で削除するか、名前を変更する必要があります。

  • ログ用に予約された 2 つの S3 バケットは、手動で削除するか、名前を変更する必要があります。

  • 既存のコア組織とカスタム組織は、手動で削除するか、名前を変更する必要があります。

    注記

    AWS Control Tower コア OU 組織を削除する前に、まずロギングアカウントと監査アカウントを削除する必要がありますが、マスターアカウントは削除する必要はありません。これらのアカウントを削除するには、監査アカウントとロギングアカウントに ルートユーザーとしてサインインする (ルートユーザーとしてログイン) し、個別に削除する必要があります

  • AWS Control Tower の AWS シングルサインオン (AWS SSO) 構成を手動で削除することもできますが、既存の AWS SSO で続行することもできます。

  • AWS Control Tower によって作成された VPC を削除し、関連する AWS CloudFormation スタックセットも削除することもできます。