翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
廃止処理中に削除されないリソース
ランディングゾーンを廃止しても、AWS Control Tower セットアッププロセスは完全には元に戻りません。一部のリソースは残るため、手動で削除しなければならない場合があります。
AWS Organizations
既存の AWS Organizations 組織を持たないお客様の場合、AWS Control Tower は Security と Sandbox という名前の 2 OUs) を持つ組織をセットアップします。ランディングゾーンを廃止すると、組織の階層は次のように保持されます。
-
AWS Control Tower コンソールから作成した組織単位 (OU) は削除されません。
-
セキュリティ OU とサンドボックス OU は削除されません。
-
組織は から削除されません AWS Organizations。
-
AWS Organizations (共有、プロビジョニング、管理) のアカウントは移動または削除されません。
AWS IAM Identity Center (SSO)
既存の IAM Identity Center ディレクトリを持たないお客様の場合、AWS Control Tower により、IAM Identity Center が設定され、初期ディレクトリが構成されます。ランディングゾーンを廃止しても、AWS Control Tower は、IAM Identity Center に対して変更を行いません。必要であれば、管理アカウントに保管されている IAM Identity Center 情報は手動で削除できます。特に、これらの領域に廃止による変更はありません。
-
Account Factory で作成されたユーザーは削除されません。
-
AWS Control Tower のセットアップによって作成されたグループは削除されません。
-
AWS Control Tower によって作成された許可セットは削除されません。
-
AWS アカウントと IAM Identity Center 許可セット間の関連付けは削除されません。
-
IAM Identity Center のディレクトリは変更されません。
ロール
セットアップ中に、コンソールを使用する場合、AWS Control Tower は特定のロールを作成します。または、APIs。ランディングゾーンを廃止しても、次のロールは削除されません。
-
AWSControlTowerAdmin
-
AWSControlTowerCloudTrailRole
-
AWSControlTowerStackSetRole
-
AWSControlTowerConfigAggregatorRoleForOrganizations
Amazon S3 バケット
セットアップ中、AWS Control Tower はログ用とログアクセス用のロギングアカウントでバケットを作成します。ランディングゾーンを廃止しても、次のリソースは削除されません。
-
ロギングアカウント内のロギングおよびロギングアクセス S3 バケットは削除されません。
-
ロギングおよびロギングアクセスバケットの内容は削除されません。
共有アカウント
AWS Control Tower のセットアップ時に、セキュリティ OU に 2 つの共有アカウント (監査とログアーカイブ) が作成されます。ランディングゾーンを廃止した場合:
-
AWS Control Tower のセットアップ中に作成された共有アカウントは閉鎖されません。
-
OrganizationAccountAccessRole
IAM ロールは、標準 AWS Organizations 設定に合わせて再作成されます。 -
AWSControlTowerExecution
ロールが削除されます。
プロビジョニングされたアカウント
AWS Control Tower のカスタマーは、Account Factory を使用して新しい AWS アカウントを作成できます。ランディングゾーンを廃止した場合:
-
Account Factory で作成したプロビジョニングされたアカウントは閉鎖されません。
-
のプロビジョニング済み製品は削除 AWS Service Catalog されません。それらを終了してクリーンアップすると、それらのアカウントは [Root OU] (ルート OU) に移動されます。
-
AWS Control Tower によって作成された VPC は削除されず、関連する AWS CloudFormation スタックセット (
BP_ACCOUNT_FACTORY_VPC
) も削除されません。 -
OrganizationAccountAccessRole
IAM ロールは、標準 AWS Organizations 設定に合わせて再作成されます。 -
AWSControlTowerExecution
ロールが削除されます。
CloudWatch ログロググループ
CloudWatch Logs ロググループ はaws-controltower/CloudTrailLogs
、 という名前のブループリントの一部として作成されますAWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT
。このロググループは削除されません。代わりに、ブループリントが削除され、リソースは保持されます。
-
このロググループは、別のランディングゾーンを設定する前に手動で削除する必要があります。
注記
ランディングゾーン 3.0 以降のお客様は、個々の登録済みアカウントの CloudTrail ログと CloudTrail ログロールを削除する必要はありません。これらは、組織レベルの証跡用に管理アカウントでのみ作成されるためです。
ランディングゾーンバージョン 3.2 以降、AWS Control Tower は という Amazon EventBridge ルールを作成しますAWSControlTowerManagedRule
。このルールは、すべての管理対象リージョンで、メンバーアカウントごとに作成されます。ルールは廃止時に自動的に削除されないため、すべての管理対象リージョンで共有アカウントおよびメンバーアカウントから手動で削除してから、新しいリージョンでランディングゾーンを設定する必要があります。
AWS Control Tower リソースを削除する方法の手順については、「AWS Control Tower リソースを管理する」を参照してください。