チュートリアル: AWS Control Tower のランディングゾーンを廃止する - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

チュートリアル: AWS Control Tower のランディングゾーンを廃止する

AWS Control Tower では、ランディングゾーンと呼ばれる安全なマルチアカウント AWS 環境を設定および管理できます。AWS Control Tower が配置したすべてのリソースをクリーンアップするプロセスは、ランディングゾーンの廃止と呼ばれます。

AWS Control Tower を使用しなくなった場合は、自動廃止ツールによって AWS Control Tower によって割り当てられたリソースがクリーンアップされます。自動廃止プロセスを開始するには、[Landing Zone Settings] (ランディングゾーンの設定) ページで [decommission] (廃止) タブを選択し、[Decommission landing zone] (ランディングゾーンの廃止) を選択します。

廃止処理中に実行するアクションの一覧に関しては、「廃止プロセスの概要」を参照してください。

警告

すべての AWS Control Tower リソースを手動で削除することは、廃止とは異なります。この場合、新しいランディングゾーンを設定することはできません。

データおよび既存の AWS Organizations は、次の方法で廃止プロセスによって変更されません。

  • データは削除されず、AWS Control Tower によって作成されたランディングゾーンの一部のみが削除されます。

  • 廃止プロセスが完了すると、Amazon S3 バケットや Amazon CloudWatch Logs ロググループなど、いくつかのリソースアーティファクトが残ります。これらのリソースは、別のランディングゾーンを設定する前に、手動で削除する必要があります。これにより、特定のリソースの保守に伴い派生する可能性があるコストを回避できます。

  • 自動廃止を使用して、部分的にセットアップされたランディングゾーンを削除することはできません。ランディングゾーンのセットアッププロセスが失敗した場合、自動廃止を有効にするには、障害状態を解決してセットアップを完了する必要があります。または、リソースを個別に手動で削除する必要があります。

ランディングゾーンの廃止は、重大な影響を引き起こす処理であり、元に戻すことはできません。AWS Control Tower によって実行される廃止アクション、および廃止後に残るアーティファクトについては、次のセクションで説明します。

重要

この廃止プロセスは、ランディングゾーンの使用を停止する場合にのみ実行することを強くお勧めします。既存のランディングゾーンを廃止した後に再作成することはできません。

廃止後に必要な手動クリーンアップタスク

  • landing zone を廃止した後に新しいランディングゾーンを作成する場合、ロギングアーカイブアカウントと監査アカウントに異なる E メールアドレスを指定する必要があります。そうでない場合、既存のロギングアーカイブアカウントまたは監査アカウントを持ち込むための手順に従ってください。

  • CloudWatch Logs ロググループ はaws-controltower/CloudTrailLogs、別のランディングゾーンを設定する前に手動で削除する必要があります。

  • ログ用に予約された 2 つの Amazon S3 バケットは、手動で削除するか、名前を変更する必要があります。

  • 既存の [Security] (セキュリティ) 組織と [Sandbox] (サンドボックス) 組織は、手動で削除するか、名前を変更する必要があります。

    注記

    AWS Control Tower の [Security OU] (セキュリティ OU) 組織を削除する前に、まずロギングアカウントと監査アカウントを削除する必要がありますが、管理アカウントは削除する必要はありません。これらのアカウントを削除するには、監査アカウントとロギングアカウントに ルートユーザーとしてサインインする場合 (ルートユーザーとしてログイン) し、個別に削除する必要があります

  • AWS Control Tower の AWS IAM Identity Center (IAM Identity Center) 設定を手動で削除することもできますが、既存の IAM Identity Center 設定に進むことができます。

  • AWS Control Tower によって作成された VPC を削除し、関連する AWS CloudFormation スタックセットを削除することもできます。

  • 新しい AWS リージョンに新しいランディングゾーンを設定する前に、以下の追加ステップに従う必要があります。

    • CLI を開いて、次のコマンドを入力します。

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

    • 残っているマネージドルール (AWSControlTowerManagedRule) を、すべての管理対象リージョンで共有アカウントおよびメンバーアカウントから削除します。