廃止プロセスの概要 - AWS Control Tower

廃止プロセスの概要

Landing Zone の廃止をリクエストすると、AWS Control Tower は次のアクションを実行します。

  • Landing Zone で有効になっている各検出ガードレールを無効にします。AWS Control Tower は、ガードレールをサポートする AWS CloudFormation リソースを削除します。

  • AWS Organizations からサービスコントロールポリシー (SCP) を削除して、各予防ガードレールを無効にします。ポリシーが空欄の場合 (AWS Control Tower が管理するすべての SPC の削除後に空欄になる)、AWS Control Tower は、ポリシーを完全にデタッチし、削除します。

  • CloudFormation StackSet としてデプロイされたすべてのブループリントを削除します。

  • CloudFormation Stack としてデプロイされたすべてのリージョンのすべてのブループリントを削除します。

  • プロビジョニングされたアカウントごとに、 AWS Control Tower は、廃止プロセス中に以下のアクションを実行します。

    • 各 Account Factory アカウントのレコードを削除します。

    • AWS Control Tower が作成した IAM ロールを削除し、アカウントへの AWS Control Tower アクセス許可を取り消し (追加のポリシーが追加されていない限り)、標準のOrganizationsFullAccessRole IAM ロールを作成します。

    • AWS Service Catalog からアカウントのレコードを削除します。

    • Account Factory 製品およびポートフォリオを AWS Service Catalog から削除します。

  • コア (ロギングおよび監査) アカウントのブループリントを削除します。

  • AWS Control Tower が作成した IAM ロールを削除し (追加のポリシーが追加されていない限り)、コアアカウントから AWS Control Tower アクセス許可を取り消した後、OrganizationsFullAccessRole IAM ロールを再作成します。

  • コアアカウントに関連するレコードを削除します。

  • ユーザー作成の OU に関連するレコードを削除します。

  • ホームリージョンを識別する内部レコードを削除します。

注記

廃止後、VPC が空でない場合は、Account Factory VPC ブループリント (BP_ACCOUNT_FACTORY_VPC) を削除して、ルートと NAT ゲートウェイをクリーンアップすることもできます。