廃止処理中に削除されないリソース - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

廃止処理中に削除されないリソース

ランディングゾーンを廃止しても、AWS Control Tower セットアッププロセスは完全には元に戻りません。一部のリソースは残るため、手動で削除しなければならない場合があります。

AWS Organizations

既存のAWS Organizations組織を持たないお客様の場合、AWS Control Tower は 1 つ以上の組織単位 (OUs。指定されたセキュリティ OU とオプションで作成されたサンドボックス OU。ランディングゾーンを廃止すると、組織の階層は次のように保持されます。

  • AWS Control Tower コンソールから作成した組織単位 (OU) は削除されません。

  • セキュリティ OU とサンドボックス OU は削除されません。

  • 組織は から削除されませんAWS Organizations。

  • AWS Organizations(共有、プロビジョニング、または管理) のアカウントは移動または削除されません。

AWS IAM アイデンティティセンター(SSO)

既存の IAM Identity Center ディレクトリを持たないお客様の場合、AWS Control Tower により、IAM Identity Center が設定され、初期ディレクトリが構成されます。ランディングゾーンを廃止しても、AWS Control Tower は、IAM Identity Center に対して変更を行いません。必要であれば、管理アカウントに保管されている IAM Identity Center 情報は手動で削除できます。特に、これらの領域に廃止による変更はありません。

  • Account Factory で作成されたユーザーは削除されません。

  • AWS Control Tower のセットアップによって作成されたグループは削除されません。

  • AWS Control Tower によって作成された許可セットは削除されません。

  • AWSアカウントと IAM Identity Center アクセス許可セットの関連付けは削除されません。

  • IAM Identity Center のディレクトリは変更されません。

  • AWS Control Tower のこれらの IAM Identity Center ポリシーは削除されません。

    • AWSControlTowerAdminPolicy

    • AWSControlTowerCloudTrailRolePolicy

    • AWSControlTowerStackSetRolePolicy

ロール

セットアップ中、AWS Control Tower はユーザーに代わって特定のロールを作成するか (コンソールを使用する場合)、それらのロールを作成するようユーザーに求めます (API を使用してランディングゾーンをセットアップする場合)。ランディングゾーンを廃止しても、次のロールは削除されません。

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

注記

メンバーアカウントのAWSControlTowerExecutionロールは、AWS Control Tower がユーザーに代わってロールを作成したか、手動でロールを作成したかにかかわらず、ランディングゾーンが削除されると削除されます。ただし、このロールに追加のポリシーをアタッチした場合、またはこのロールにアタッチされたポリシーを変更した場合、AWS Control Tower はランディングゾーンの削除中にこのロールを削除できない場合があります。このような場合、ランディングゾーンの削除は成功しますが、ロールはメンバーアカウントに保持されます。

Amazon S3 バケット

セットアップ中、AWS Control Tower は AWS CloudTrail のログアーカイブアカウントと AWS Config 統合の設定中央アグリゲータアカウントにバケットを作成します。AWS Control Tower は、これらの各アカウントのログ記録とアクセスのログ記録用のバケットを作成します。ランディングゾーンを廃止しても、次のリソースは削除されません。

  • ログアーカイブアカウントのログ記録とログ記録アクセス S3 バケットは削除されません。

  • 設定中央アグリゲータアカウントのログ記録とログ記録アクセス S3 バケットは削除されません。

  • これらの各アカウントのログ記録およびログ記録アクセスバケットの内容は削除されません。

サービス統合アカウント

AWS Control Tower では、各サービス統合設定に中央アカウントが必要です。このアカウントは、ランディングゾーンのバージョンに基づいて AWS Control Tower のセットアップ中に作成される場合と作成されない場合があります。ランディングゾーンを廃止した場合:

  • AWS Control Tower のセットアップ中に作成されたサービス統合アカウントは閉じられません。

  • IAM OrganizationAccountAccessRole ロールは、標準AWS Organizations設定に合わせて再作成されます。

  • AWSControlTowerExecution ロールが削除されます。

プロビジョニングされたアカウント

AWS Control Tower のお客様は、Account Factory を使用して新しいAWSアカウントを作成できます。ランディングゾーンを廃止した場合:

  • Account Factory で作成したプロビジョニングされたアカウントは閉鎖されません。

  • のプロビジョニング済み製品は削除AWS Service Catalogされません。それらを終了してクリーンアップすると、それらのアカウントは [Root OU] (ルート OU) に移動されます。

  • AWS Control Tower によって作成された VPC は削除されず、関連するAWS CloudFormationスタックセット (BP_ACCOUNT_FACTORY_VPC) も削除されません。

  • IAM OrganizationAccountAccessRole ロールは、標準AWS Organizations設定に合わせて再作成されます。

  • AWSControlTowerExecution ロールが削除されます。

CloudWatch Logs ロググループ

  • aws-controltower/CloudTrailLogs という CloudWatch Logs ロググループが、AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER という名前のブループリントの一部として作成されます。このロググループは削除されません。代わりに、ブループリントが削除され、リソースは保持されます。

注記

ランディングゾーン 3.0 以降のお客様は、個々の登録済みアカウントの CloudTrail ログと CloudTrail ログのロールを削除する必要はありません。これらは、組織レベルの証跡用に管理アカウントでのみ作成されるためです。

ランディングゾーンバージョン 3.2 以降、AWS Control Tower は AWSControlTowerManagedRule という Amazon EventBridge ルールを作成します。このルールは、すべての管理対象リージョンで、メンバーアカウントごとに作成されます。ルールは廃止時に自動的に削除されないため、新しいリージョンでランディングゾーンを設定する前に、すべての管理対象リージョンのサービス統合アカウントとメンバーアカウントからルールを手動で削除する必要があります。

AWS Control Tower リソースを削除する方法の手順については、「AWS Control Tower リソースを削除する」を参照してください。