廃止処理中に削除されないリソース - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

廃止処理中に削除されないリソース

ランディングゾーンを廃止しても、AWSControl Tower のセットアッププロセスが完全に逆になるわけではありません。一部のリソースは残るため、手動で削除しなければならない場合があります。

AWS Organizations

既存の AWS Organizations 組織を持たないお客様の場合、AWSControl Tower は SecuritySandbox という名前の 2 つの組織単位 (OUs) で組織をセットアップします。ランディングゾーンを廃止すると、組織の階層は次のように保持されます。

  • AWS Control Tower コンソールから作成した組織単位 (OUs) は削除されません。

  • セキュリティとサンドボックスOUsは削除されません。

  • 組織は から削除されません AWS Organizations。

  • AWS Organizations (共有、プロビジョニング、管理) のアカウントは移動または削除されません。

AWS IAM Identity Center (SSO)

既存の IAM Identity Center ディレクトリがないお客様の場合、AWSControl Tower は IAM Identity Center を設定し、初期ディレクトリを設定します。ランディングゾーンを廃止しても、AWSControl Tower は IAM Identity Center を変更しません。必要に応じて、管理アカウントに保存されている IAM Identity Center 情報を手動で削除できます。特に、これらの領域に廃止による変更はありません。

  • Account Factory で作成されたユーザーは削除されません。

  • AWS Control Tower のセットアップによって作成されたグループは削除されません。

  • AWS Control Tower によって作成されたアクセス許可セットは削除されません。

  • AWS アカウントと IAM Identity Center アクセス許可セット間の関連付けは削除されません。

  • IAM Identity Center ディレクトリは変更されません。

ロール

コンソールを使用する場合、AWSControl Tower はセットアップ時に特定のロールを作成します。または、 を使用してランディングゾーンを設定する場合は、これらのロールを作成するように求められますAPIs。ランディングゾーンを廃止しても、次のロールは削除されません。

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Amazon S3 バケット

セットアップ中、AWSControl Tower はログ記録用とログアクセス用のバケットをログ記録アカウントに作成します。ランディングゾーンを廃止しても、次のリソースは削除されません。

  • ロギングアカウント内のロギングおよびロギングアクセス S3 バケットは削除されません。

  • ロギングおよびロギングアクセスバケットの内容は削除されません。

共有アカウント

AWS Control Tower のセットアップ中に、2 つの共有アカウント (監査とログアーカイブ) がセキュリティ OU に作成されます。ランディングゾーンを廃止した場合:

  • AWS Control Tower のセットアップ中に作成された共有アカウントは閉鎖されません。

  • OrganizationAccountAccessRole IAM ロールは、標準 AWS Organizations 設定に合わせて再作成されます。

  • AWSControlTowerExecution ロールが削除されます。

プロビジョニングされたアカウント

AWS Control Tower のお客様は、Account Factory を使用して新しいAWSアカウントを作成できます。ランディングゾーンを廃止した場合:

  • Account Factory で作成したプロビジョニングされたアカウントは閉鎖されません。

  • のプロビジョニング済み製品は削除 AWS Service Catalog されません。それらを終了してクリーンアップすると、それらのアカウントは [Root OU] (ルート OU) に移動されます。

  • AWS Control Tower VPCが作成した は削除されず、関連する AWS CloudFormation スタックセット (BP_ACCOUNT_FACTORY_VPC) も削除されません。

  • OrganizationAccountAccessRole IAM ロールは、標準 AWS Organizations 設定に合わせて再作成されます。

  • AWSControlTowerExecution ロールが削除されます。

CloudWatch ログロググループ

CloudWatch Logs ロググループ はaws-controltower/CloudTrailLogs、 という名前のブループリントの一部として作成されますAWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT。このロググループは削除されません。代わりに、ブループリントが削除され、リソースは保持されます。

  • このロググループは、別のランディングゾーンを設定する前に手動で削除する必要があります。

注記

ランディングゾーン 3.0 以降のお客様は、個々の登録アカウントの CloudTrail ログと CloudTrail ログロールを削除する必要はありません。これらは組織レベルの証跡の管理アカウントでのみ作成されるためです。

ランディングゾーンバージョン 3.2 以降、AWSControl Tower は という Amazon EventBridge ルールを作成しますAWSControlTowerManagedRule。このルールは、すべての管理対象リージョンで、メンバーアカウントごとに作成されます。ルールは廃止時に自動的に削除されないため、すべての管理対象リージョンで共有アカウントおよびメンバーアカウントから手動で削除してから、新しいリージョンでランディングゾーンを設定する必要があります。

AWS Control Tower リソースを削除する手順については、「」を参照してくださいAWS Control Tower リソースの管理