기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
해체 중에 리소스가 제거되지 않음
랜딩 존을 폐기한다고 해서 AWS Control Tower 설치 프로세스를 완전히 되돌릴 수는 없습니다. 특정 리소스는 남아 있으며 수동으로 제거할 수 있습니다.
AWS Organizations
기존 AWS Organizations 조직이 없는 고객의 경우, AWS Control Tower는 보안과 샌드박스라는 두 개의 조직 단위 (OU) 로 구성된 조직을 구성합니다. 랜딩 영역을 폐기하는 경우 다음과 같이 조직의 계층이 유지됩니다.
-
AWS Control Tower 콘솔에서 생성한 조직 단위 (OU) 는 제거되지 않습니다.
-
보안 및 샌드박스 OU는 제거되지 않습니다.
-
조직은 AWS Organizations삭제되지 않습니다.
-
공유, 프로비저닝 또는 관리 계정의 어떤 계정도 이동되거나 제거되지 않습니다. AWS Organizations
AWS IAM Identity Center (SSO)
기존 IAM ID 센터 디렉터리가 없는 고객의 경우, AWS Control Tower는 IAM ID 센터를 설정하고 초기 디렉터리를 구성합니다. 랜딩 존을 해제해도 AWS Control Tower는 IAM ID 센터를 변경하지 않습니다. 필요한 경우 관리 계정에 저장된 IAM ID 센터 정보를 수동으로 삭제할 수 있습니다. 특히 다음 영역은 폐기를 통해 변경되지 않습니다.
-
Account Factory로 생성한 사용자는 제거되지 않습니다.
-
AWS Control Tower 설치로 생성된 그룹은 제거되지 않습니다.
-
AWS Control Tower에서 생성한 권한 집합은 제거되지 않습니다.
-
AWS 계정과 IAM ID 센터 권한 집합 간의 연결은 제거되지 않습니다.
-
IAM ID 센터 디렉터리는 변경되지 않습니다.
역할
설정 중에 콘솔을 사용하는 경우 AWS Control Tower가 특정 역할을 생성하거나, API를 통해 landing Zone을 설정하는 경우 이러한 역할을 생성하도록 요청합니다. landing Zone을 사용 중지해도 다음 역할은 제거되지 않습니다.
-
AWSControlTowerAdmin
-
AWSControlTowerCloudTrailRole
-
AWSControlTowerStackSetRole
-
AWSControlTowerConfigAggregatorRoleForOrganizations
Amazon S3 버킷
설정 중에 AWS Control Tower는 로깅 계정에 로깅 및 로깅 액세스를 위한 버킷을 생성합니다. 랜딩 영역을 폐기할 때 다음 리소스는 제거되지 않습니다.
-
로깅 계정의 로깅 및 로깅 액세스 S3 버킷은 제거되지 않습니다.
-
로깅 및 로깅 액세스 버킷의 내용은 제거되지 않습니다.
공유 계정
AWS Control Tower 설치 중에 보안 OU에 두 개의 공유 계정 (감사 및 로그 아카이브) 이 생성됩니다. 랜딩 영역을 폐기하는 경우 다음과 같은 결과가 발생합니다.
-
AWS Control Tower 설치 중에 생성된 공유 계정은 폐쇄되지 않습니다.
-
OrganizationAccountAccessRole
IAM 역할은 표준 구성에 맞게 다시 생성됩니다. AWS Organizations -
AWSControlTowerExecution
역할은 제거됩니다.
프로비저닝된 계정
AWS Control Tower 고객은 어카운트 팩토리를 사용하여 새 AWS 계정을 생성할 수 있습니다. 랜딩 영역을 폐기하는 경우 다음과 같은 결과가 발생합니다.
-
Account Factory로 생성한 프로비저닝된 계정은 해지되지 않습니다.
-
에서 프로비저닝된 AWS Service Catalog 제품은 제거되지 않습니다. 해당 계정을 종료하여 정리하면 해당 계정이 루트 OU로 이동됩니다.
-
AWS Control Tower가 생성한 VPC는 제거되지 않으며, 관련 AWS CloudFormation 스택 세트 (
BP_ACCOUNT_FACTORY_VPC
) 도 제거되지 않습니다. -
OrganizationAccountAccessRole
IAM 역할은 표준 구성에 맞게 다시 생성되었습니다. AWS Organizations -
AWSControlTowerExecution
역할은 제거됩니다.
CloudWatch 로그 로그 그룹
라는 이름의 AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT
블루프린트의 일부로 CloudWatch 로그 로그 그룹aws-controltower/CloudTrailLogs
, 이 생성됩니다. 이 로그 그룹은 제거되지 않습니다. 대신 청사진이 삭제되며 리소스는 유지됩니다.
-
다른 랜딩 영역을 설정하기 전에 이 로그 그룹을 수동으로 삭제해야 합니다.
참고
Landzone 3.0 이상을 사용하는 고객은 등록된 개별 계정의 로그 및 로그 역할을 삭제할 필요가 없습니다. 이러한 CloudTrail CloudTrail 로그 및 로그 역할은 조직 수준 추적을 위해 관리 계정에서만 생성되기 때문입니다.
랜딩 존 버전 3.2부터 AWS Control Tower는 라는 EventBridge 규칙을 생성합니다AWSControlTowerManagedRule
. 이 규칙은 모든 관리 지역에 대해 각 회원 계정에 생성됩니다. 이 규칙은 서비스 해제 중에 자동으로 삭제되지 않으므로 새 지역에 랜딩 존을 설정하려면 먼저 모든 관리 지역의 공유 및 멤버 계정에서 규칙을 수동으로 삭제해야 합니다.
AWS Control Tower 리소스를 삭제하는 방법에 대한 절차는 에 나와 AWS Control 타워 리소스 관리 있습니다.