Visão geral do processo de descomissionamento

Quando você solicita o descomissionamento da sua landing zone, o AWS Control Tower executa as seguintes ações.

• Desativa cada controle de detetive ativado na landing zone. O AWS Control Tower exclui os AWS CloudFormation recursos que dão suporte ao controle.

• Desativa cada controle preventivo removendo as políticas de controle de serviço (SCPs) do. AWS Organizations Se uma política estiver vazia (o que deveria acontecer após a remoção de todas as SCPs gerenciadas pela AWS Control Tower), a AWS Control Tower desanexará e excluirá totalmente a política.

• Exclui todos os blueprints implantados como. AWS CloudFormation StackSets

• Exclui todos os blueprints implantados como CloudFormation pilhas em todas as regiões.

• Para cada conta provisionada, o AWS Control Tower executa as seguintes ações durante o processo de descomissionamento.

  • Exclui os registros de cada conta de fábrica de contas.

  • Revoga as permissões da AWS Control Tower para a conta removendo a função do IAM que a AWS Control Tower criou (a menos que políticas adicionais tenham sido adicionadas a ela) e recria a OrganizationsFullAccessRole função padrão do IAM.

  • Remove os registros da conta de AWS Service Catalog.

  • Remove o produto e o portfólio da fábrica de contas do AWS Service Catalog.

• Exclui os esquemas das contas compartilhadas (Auditoria e Arquivo de Registros).

• Revoga as permissões da AWS Control Tower das contas compartilhadas removendo a função do IAM criada pela AWS Control Tower (a menos que políticas adicionais tenham sido adicionadas a ela) e recria a OrganizationsFullAccessRole função do IAM.

• Exclui registros relacionados às contas compartilhadas.

• Exclui registros relacionados a UOs criadas pelo cliente.

• Exclui registros internos que identificam a região de origem.

nota

Após a desativação, será possível remover o esquema da VPC da Fábrica de contas (BP_ACCOUNT_FACTORY_VPC) para limpar as rotas e gateways NAT, se sua VPC não estiver vazia.