연습: AWS Control Tower 관리형 리소스 정리 - AWS Control Tower

연습: AWS Control Tower 관리형 리소스 정리

랜딩 존이 설정될 때 AWS Control Tower는 사용자 대신 랜딩 존에 리소스와 서비스를 프로비저닝했습니다. 예를 들어 여러 계정과 조직 단위(OU)가 있는 AWS Organizations 조직이 프로비저닝되었습니다. 또한 가드레일은 AWS CloudFormation 스택, 스택 세트 및 AWS Organizations 정책을 사용하여 계정에 배포되었습니다.

엔터프라이즈에 더 이상 AWS Control Tower를 사용하지 않으려는 경우 또는 조직 리소스의 대규모 재배포가 필요한 경우 랜딩 존을 처음 설정할 때 생성된 리소스를 정리할 수 있습니다.

AWS Control Tower 랜딩 영역의 자동 폐기

AWS Control Tower에서 할당된 모든 리소스를 정리하는 프로세스를 랜딩 영역 폐기라고 합니다. 대부분 자동화된 프로세스를 통해 랜딩 영역을 폐기하려면 AWS Support에 문의하십시오. 수행할 추가 단계를 안내해 드립니다. 폐기 중에 수행되는 작업의 전체 목록은 폐기 프로세스 개요 단원을 참조하십시오.

다음과 같이 데이터와 기존 AWS Organizations는 폐기 프로세스를 통해 변경되지 않습니다.

  • AWS Organizations는 데이터를 제거하지 않고 생성한 랜딩 영역의 요소만 제거합니다.

  • 폐기 프로세스가 완료된 후 S3 버킷 및 Amazon CloudWatch Logs 로그 그룹과 같은 몇몇 리소스 아티팩트는 남아 있습니다.

다른 랜딩 존을 설정하기 전에 계정에 남아 있는 리소스를 수동으로 정리하여 예기치 않은 요금이 발생하지 않도록 해야 합니다. 자세한 내용은 폐기 중에 제거되지 않는 리소스 단원을 참조하십시오.

주의

랜딩 존 사용을 중지하려는 경우에만 이 폐기 프로세스를 수행하는 것이 좋습니다. 이 프로세스는 실행 취소할 수 없습니다.

AWS Control Tower 리소스의 수동 정리

다음 절차는 수동으로 AWS Control Tower 리소스를 정리하는 방법을 안내합니다. 이 절차는 랜딩 영역에서 리소스를 삭제해야 할 때마다 따를 수 있습니다. 다음 두 가지 유형의 작업에서 리소스를 정리해야 할 수 있습니다.

  • 일반적인 상황에서 랜딩 영역을 관리할 때 리소스를 삭제하려는 경우

  • AWS Support에서 자동 폐기 후에 남아 있는 리소스를 정리하려는 경우

참고

모든 랜딩 영역 리소스를 수동으로 삭제하는 것은 랜딩 영역을 폐기하는 것과 같지 않습니다. 완전한 폐기를 위해서는 AWS Support의 지원이 필요합니다.

이러한 절차를 수행하기 전에 달리 명시되지 않는 한 랜딩 존의 홈 리전에 있는 AWS Management 콘솔에 로그인해야 하며, 랜딩 존이 있는 마스터 계정에 대한 관리 권한이 있는 IAM 사용자로 로그인해야 합니다.

주의

이렇게 하면 AWS Control Tower 설정 중 거버넌스 드리프트가 발생할 수 있습니다. 이는 실행 취소할 수 없습니다.

SCP 삭제

AWS Control Tower는 가드레일에 서비스 제어 정책(SCP)을 사용합니다. 이 절차는 AWS Control Tower와 관련된 SCP를 삭제하는 방법을 안내합니다.

AWS Organizations SCP를 삭제하려면

  1. Open the 조직 console at https://console.aws.amazon.com/organizations/.

  2. 정책 탭을 열고 접두사 aws-guardrails-가 있는 서비스 제어 정책(SCP)을 찾아 각 SCP에 대해 다음을 수행합니다.

    1. 연결된 OU에서 SCP를 분리합니다.

    2. SCP를 삭제합니다.

스택 세트 및 스택 삭제

AWS Control Tower는 스택 세트 및 스택을 사용하여 랜딩 존의 가드레일과 관련된 AWS Config 규칙를 배포합니다. 다음 절차는 이러한 특정 리소스를 삭제하는 방법을 설명합니다.

AWS CloudFormation 스택 세트를 삭제하려면

  1. https://console.aws.amazon.com/cloudformation에서 AWS CloudFormation 콘솔을 엽니다.

  2. 왼쪽 탐색 메뉴에서 스택 세트를 선택합니다.

  3. 접두사 AWSControlTower가 있는 각 스택 세트에 대해 다음을 수행합니다. 스택 세트에 많은 계정이 있다면 다소 시간이 걸릴 수 있습니다.

    1. 대시보드의 테이블에서 특정 스택 세트를 선택합니다. 그러면 해당 스택 세트에 대한 속성 페이지가 열립니다.

    2. 페이지 하단의 스택 테이블에서 테이블의 모든 계정에 대한 AWS 계정 ID를 기록해 둡니다. 모든 계정 목록을 복사합니다.

    3. Manage StackSet(스택 세트 관리)를 선택하여 관리 마법사를 엽니다.

    4. 작업 선택에서 Delete stacks(스택 삭제)를 선택하고 다음을 선택합니다.

    5. Set deployment options(배포 옵션 설정)Specify accounts(계정 지정)에서 Delete stacks from account(계정에서 스택 삭제)를 선택합니다.

    6. 텍스트 필드에 3.b단계에서 기록한 AWS 계정 ID를 쉼표로 구분하여 입력합니다. 예를 들면 123456789012, 098765431098 등입니다.

    7. Specify regions(리전 지정)에서 Add all(모두 추가)을 선택하고 페이지의 나머지 파라미터를 기본값으로 설정하고 다음을 선택합니다.

    8. 검토 페이지에서 선택 사항을 검토한 다음 Delete stacks(스택 삭제)를 선택합니다.

    9. StackSet properties(스택 세트 속성) 페이지에서 다른 스택 세트에 대해 이 절차를 다시 시작할 수 있습니다.

  4. 다른 StackSet properties(스택 세트 속성) 페이지의 스택 테이블에 있는 레코드가 비어 있으면 프로세스가 완료된 것입니다.

  5. 스택 테이블의 레코드가 비어 있으면 Delete StackSet(스택 세트 삭제)를 선택합니다.

AWS CloudFormation 스택을 삭제하려면

  1. https://console.aws.amazon.com/cloudformation에서 AWS CloudFormation 콘솔을 엽니다.

  2. 스택 대시보드에서 접두사 AWSControlTower가 있는 모든 스택을 검색합니다.

  3. 테이블의 각 스택에 대해 다음을 수행합니다.

    1. 스택 이름 옆의 확인란을 선택합니다.

    2. 작업 메뉴에서 Delete Stack(스택 삭제)을 선택합니다.

    3. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 예, 삭제를 선택합니다.

로그 아카이브 계정에서 Amazon S3 버킷 삭제

다음 절차에서는 AWSControlTowerExecution 그룹의 AWS SSO 사용자로 로그 아카이브 계정에 로그인한 다음 로그 아카이브 계정에서 Amazon S3 버킷을 삭제하는 방법을 안내합니다.

올바른 권한으로 로그 아카이브 계정에 로그인하려면

  1. Open the 조직 console at https://console.aws.amazon.com/organizations/.

  2. 계정 탭에서 로그 아카이브 계정을 찾습니다.

  3. 열린 오른쪽 창에서 로그 아카이브 계정 번호를 기록해 둡니다.

  4. 탐색 모음에서 계정 이름을 선택한 다음 계정 메뉴를 엽니다.

  5. Switch Role(역할 전환)을 선택합니다.

  6. 열린 페이지에서 계정에 로그 아카이브 계정의 계정 번호를 입력합니다.

  7. 역할AWSControlTowerExecution을 입력합니다.

  8. 표시 이름은 텍스트로 채워져 있습니다.

  9. 원하는 색상을 선택합니다.

  10. Switch Role(역할 전환)을 선택합니다.

Amazon S3 버킷을 삭제하려면

  1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. aws-controltower가 포함된 버킷 이름을 검색합니다.

  3. 테이블의 각 버킷에 대해 다음을 수행합니다.

    1. 테이블의 버킷에 대한 확인란을 선택합니다.

    2. 삭제를 선택합니다.

    3. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 버킷의 이름을 입력하여 확인한 다음 확인을 선택합니다.

Account Factory 정리

다음 절차에서는 AWSServiceCatalogAdmins 그룹의 AWS SSO 사용자로 로그인한 다음 Account Factory 계정을 정리하는 방법을 안내합니다.

올바른 권한으로 마스터 계정에 로그인하려면

  1. 사용자 포털 URL directory-id.awsapps.com/start로 이동합니다.

  2. AWS 계정에서 마스터 계정을 찾습니다.

  3. AWSServiceCatalogAdminFullAccess에서 관리 콘솔을 선택하고 이 역할로 AWS Management 콘솔에 로그인합니다.

Account Factory를 정리하려면

  1. https://console.aws.amazon.com/servicecatalog/에서 AWS Service Catalog 콘솔을 엽니다.

  2. 왼쪽 탐색 메뉴에서 Portfolios list(포트폴리오 목록)를 선택합니다.

  3. 로컬 포트폴리오 테이블에서 이름이 AWS Control Tower Account Factory Portfolio(AWS Control Tower Account Factory 포트폴리오)인 포트폴리오를 검색합니다.

  4. 해당 포트폴리오의 이름을 선택하여 세부 정보 페이지로 이동합니다.

  5. 페이지의 제약 섹션을 확장하고 AWS Control Tower Account Factory라는 제품 이름의 제약에 대한 라디오 버튼을 선택합니다.

  6. 제약 조건 제거를 선택합니다.

  7. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 계속을 선택합니다.

  8. 페이지의 제품 섹션에서 AWS Control Tower Account Factory라는 제품 이름에 대한 라디오 버튼을 선택합니다.

  9. 제품 제거를 선택합니다.

  10. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 계속을 선택합니다.

  11. 페이지의 Users, Groups, and Roles(사용자, 그룹 및 역할) 섹션을 확장하고 이 테이블의 모든 레코드에 대한 확인란을 선택합니다.

  12. REMOVE USERS, GROUP OR ROLE(사용자, 그룹 또는 역할 제거)을 선택합니다.

  13. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 계속을 선택합니다.

  14. 왼쪽 탐색 메뉴에서 Portfolios list(포트폴리오 목록)를 선택합니다.

  15. 로컬 포트폴리오 테이블에서 이름이 AWS Control Tower Account Factory Portfolio(AWS Control Tower Account Factory 포트폴리오)인 포트폴리오를 검색합니다.

  16. 해당 포트폴리오의 라디오 버튼을 선택한 다음 포트폴리오 삭제를 선택합니다.

  17. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 계속을 선택합니다.

  18. 왼쪽 탐색 메뉴에서 Product list(제품 목록)를 선택합니다.

  19. Admin products(관리자 제품) 페이지에서 이름이 AWS Control Tower Account Factory인 제품을 검색합니다.

  20. 제품을 선택하여 Admin product details(관리자 제품 세부 정보) 페이지를 엽니다.

  21. 작업에서 Delete product(제품 삭제)를 선택합니다.

  22. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 계속을 선택합니다.

역할 및 정책 정리

이 절차에서는 랜딩 존을 설정할 때 생성된 역할 및 정책을 정리하는 방법을 안내합니다.

AWS SSO AWSServiceCatalogEndUserAccess 역할을 삭제하려면

  1. https://console.aws.amazon.com/singlesignon/에서 AWS Single Sign-On 콘솔을 엽니다.

  2. AWS 리전을 미국 동부(버지니아 북부)로 변경합니다.

  3. 왼쪽 탐색 메뉴에서 AWS 계정을 선택합니다.

  4. 마스터 계정 링크를 선택합니다.

  5. Permission sets(권한 세트)에 대한 드롭다운을 선택하고 AWSServiceCatalogEndUserAccess를 선택한 다음 제거를 선택합니다.

  6. 왼쪽 패널에서 AWS 계정을 선택합니다.

  7. Permission sets(권한 세트) 탭을 엽니다.

  8. AWSServiceCatalogEndUserAccess를 선택하여 삭제합니다.

IAM 역할을 삭제하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 왼쪽 탐색 메뉴에서 역할을 선택합니다.

  3. 테이블에서 이름이 AWSControlTower인 역할을 검색합니다.

  4. 테이블의 각 역할에 대해 다음을 수행합니다.

    1. 역할에 대한 확인란을 선택합니다.

    2. Delete role(역할 삭제)을 선택합니다.

    3. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 예, 삭제를 선택합니다.

IAM 정책을 삭제하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 왼쪽 탐색 메뉴에서 정책을 선택합니다.

  3. 테이블에서 이름이 AWSControlTower인 정책을 검색합니다.

  4. 테이블의 각 정책에 대해 다음을 수행합니다.

    1. 정책에 대한 확인란을 선택합니다.

    2. 드롭다운 메뉴에서 Policy actions(정책 작업)삭제를 차례로 선택합니다.

    3. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 삭제를 선택합니다.

AWS Control Tower 정리 도움말

이 정리 프로세스 중에 해결할 수 없는 문제가 발생하면 AWS Support에 문의하십시오.