둘러보기: AWS Control Tower 랜딩 존 해체

AWS Control Tower를 사용하면 랜딩 존이라고 하는 안전한 다중 계정 AWS 환경을 설정하고 관리할 수 있습니다. AWS Control Tower에서 할당한 모든 리소스를 정리하는 프로세스를 랜딩 존 해체라고 합니다.

더 이상 AWS Control Tower를 사용하지 않으려는 경우, 자동 폐기 도구가 AWS Control Tower에서 할당한 리소스를 정리합니다. 자동 해체 프로세스를 시작하려면 Landding Zone Settings (랜딩 존 설정) 페이지로 이동하여 서비스 해제 탭을 선택한 다음 서비스 해제 랜딩 존을 선택합니다.

서비스 해제 중에 수행된 작업 목록은 을 참조하십시오. 폐기 프로세스 개요

주의

모든 AWS Control Tower 리소스를 수동으로 삭제하는 것은 서비스 해제와 다릅니다. 새 착륙 지대를 설정할 수 없습니다.

해체 과정에서 AWS Organizations 다음과 같은 방식으로 사용자 데이터와 기존 데이터가 변경되지 않습니다.

• AWS Organizations는 데이터를 제거하지 않고 생성한 랜딩 영역의 요소만 제거합니다.

• 폐기 프로세스가 완료된 후에도 Amazon S3 버킷 및 CloudWatch Amazon Logs 로그 그룹과 같은 몇 가지 리소스 아티팩트가 남아 있습니다. 다른 랜딩 영역을 설정하기 전에 이러한 리소스를 수동으로 삭제하여 특정 리소스를 유지 관리하는 데 따른 비용이 발생하지 않도록 해야 합니다.

• 자동 폐기를 사용하여 부분적으로 설정된 랜딩 존을 제거할 수 없습니다. 랜딩 존 설정 프로세스가 실패할 경우, 실패 상태를 해결하고 자동 폐기를 가능하게 하기 위해 모든 방법을 설정해야 합니다. 그렇지 않으면 리소스를 개별적으로 수동으로 삭제해야 합니다.

랜딩 영역을 폐기하는 것은 중대한 결과를 초래하는 프로세스이며 실행 취소할 수 없습니다. AWS Control Tower에서 취한 폐기 조치와 해체 후 남아 있는 아티팩트는 다음 섹션에 설명되어 있습니다.

중요

랜딩 영역 사용을 중지하려는 경우에만 이 폐기 프로세스를 수행하는 것이 좋습니다. 기존 랜딩 영역을 폐기한 후에는 다시 생성할 수 없습니다.

해체 후 수동 정리 작업이 필요함

• 랜딩 존을 해제한 후 새 랜딩 존을 만들거나 기존 로그 아카이브 또는 감사 계정을 가져오는 절차를 따르는 경우 로그 아카이브 및 감사 계정에 대해 다른 이메일 주소를 지정해야 합니다.

• 다른 랜딩 존을 설정하기 전에 CloudWatch 로그 로그 그룹 을 수동으로 삭제해야 합니다. aws-controltower/CloudTrailLogs

• 로그용으로 예약된 이름을 가진 두 개의 Amazon S3 버킷을 수동으로 제거하거나 이름을 변경해야 합니다.

• 기존 보안 및 샌드박스 조직 단위를 수동으로 삭제하거나 이름을 변경해야 합니다.

  참고

  AWS Control Tower Security OU 조직을 삭제하려면 먼저 로깅 및 감사 계정을 삭제해야 하지만 관리 계정은 삭제하지 않아야 합니다. 이러한 계정을 삭제하려면 감사 계정과 로깅 계정에 루트 사용자로 로그인하는 경우하여 각 계정을 개별적으로 삭제해야 합니다.

• AWS Control Tower의 AWS IAM Identity Center (IAM ID 센터) 구성을 수동으로 삭제하고 싶을 수도 있지만 기존 IAM ID 센터 구성을 계속 진행할 수 있습니다.

• AWS Control Tower에서 생성한 VPC를 제거하고 관련 AWS CloudFormation 스택 세트를 제거할 수 있습니다.

• 새 AWS 지역에 새 착륙 지대를 설정하려면 먼저 다음 추가 단계를 따라야 합니다.

  • CLI를 통해 다음 명령을 입력합니다.

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
    

  • 모든 관리 지역의 공유 및 멤버 계정에서 나머지 관리 규칙 (호출AWSControlTowerManagedRule) 을 삭제합니다.