연습: AWS Control Tower 랜딩 영역 폐기 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

연습: AWS Control Tower 랜딩 영역 폐기

AWS Control Tower를 사용하면 랜딩 영역이라고 하는 안전한 다중 계정 AWS 환경을 설정하고 제어할 수 있습니다. AWS Control Tower에서 할당한 모든 리소스를 정리하는 프로세스를 랜딩 영역 폐기라고 합니다.

AWS Control Tower를 더 이상 사용하지 않으려면 자동 폐기 도구가 AWS Control Tower에서 할당한 리소스를 정리합니다. 자동 폐기 프로세스를 시작하려면 랜딩 존 설정 페이지로 이동하여 폐기 탭을 선택하고 랜딩 존 폐기를 선택합니다.

폐기 중에 수행되는 작업의 목록은 폐기 프로세스 개요 섹션을 참조하세요.

주의

모든 AWS Control Tower 리소스를 수동으로 삭제하는 것은 폐기와 동일하지 않습니다. 새 랜딩 존을 설정할 수 없습니다.

다음과 같은 방법으로 데이터 및 기존 AWS Organizations 는 폐기 프로세스에 의해 변경되지 않습니다.

  • AWS Control Tower는 데이터를 제거하지 않고 생성한 랜딩 영역의 일부만 제거합니다.

  • 폐기 프로세스가 완료되면 Amazon S3 버킷 및 Amazon CloudWatch Logs 로그 그룹과 같은 몇 가지 리소스 아티팩트가 남아 있습니다. 다른 랜딩 존을 설정하기 전에 이러한 리소스를 수동으로 삭제하여 특정 리소스를 유지 관리하는 데 따른 비용이 발생하지 않도록 해야 합니다.

  • 자동 폐기를 사용하여 부분적으로 설정된 랜딩 존을 제거할 수 없습니다. 랜딩 존 설정 프로세스가 실패할 경우, 실패 상태를 해결하고 자동 폐기를 가능하게 하기 위해 모든 방법을 설정해야 합니다. 그렇지 않으면 리소스를 개별적으로 수동으로 삭제해야 합니다.

랜딩 존을 폐기하는 것은 중대한 결과를 초래하는 프로세스이며 실행 취소할 수 없습니다. AWS Control Tower에서 수행한 폐기 작업과 폐기 후 남아 있는 아티팩트는 다음 단원에 설명되어 있습니다.

중요

랜딩 존 사용을 중지하려는 경우에만 이 폐기 프로세스를 수행하는 것이 좋습니다. 기존 랜딩 존을 폐기한 후에는 다시 생성할 수 없습니다.

폐기 후 필요한 수동 정리 작업

  • 로그 아카이브나 감사 계정을 폐기한 후 새 랜딩 존을 만들거나 기존 로그 아카이브 또는 감사 계정을 가져오는 절차를 따르는 경우 로그 아카이브 및 감사 계정에 대해 다른 이메일 주소를 지정해야 합니다.

  • 다른 랜딩 영역을 설정하기 전에 CloudWatch 로그 로그 그룹aws-controltower/CloudTrailLogs인를 수동으로 삭제해야 합니다.

  • 로그용으로 예약된 이름이 있는 2개의 Amazon S3 버킷은 수동으로 제거하거나 이름을 변경해야 합니다.

  • 기존의 보안샌드박스 조직 단위를 수동으로 삭제하거나 이름을 변경해야 합니다.

    참고

    AWS Control Tower Security OU 조직을 삭제하려면 먼저 로깅 및 감사 계정을 삭제해야 하지만 관리 계정은 삭제하지 않아야 합니다. 이러한 계정을 삭제하려면 감사 계정과 로깅 계정에 루트 사용자로 로그인할 시기하여 각 계정을 개별적으로 삭제해야 합니다.

  • AWS Control Tower에 대한 AWS IAM Identity Center (IAM Identity Center) 구성을 수동으로 삭제할 수 있지만 기존 IAM Identity Center 구성을 진행할 수 있습니다.

  • AWS Control Tower에서 VPC 생성한를 제거하고 연결된 AWS CloudFormation 스택 세트를 제거할 수 있습니다.

  • 새 AWS 리전에 새 랜딩 영역을 설정하려면 먼저 다음 추가 단계를 따라야 합니다.

    • 를 통해 다음 명령을 입력합니다. CLI 

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

    • 모든 관리 리전의 공유 및 멤버 계정AWSControlTowerManagedRule에서 라는 나머지 관리형 규칙을 삭제합니다. AWSControlTowerManagedRule는 Amazon EventBridge 규칙입니다.