停用期间未移除资源 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

停用期间未移除资源

停用着陆区并不能完全逆转 AWS Control Tower 的设置过程。某些资源仍然存在,可以手动将其删除。

AWS Organizations

对于没有现有 AWS Organizations 组织的客户,AWS Control Tower 会建立一个由两个组织单位 (OU) 组成的组织,分别命名为安全和沙盒。当您停用登录区时,将保留组织的层次结构,如下所示:

  • 您通过 AWS Control Tower 控制台创建的组织单位 (OU) 不会被删除。

  • 未移除安全 OU 和沙盒 OU。

  • 该组织未从中删除 AWS Organizations。

  • 中的任何帐户 AWS Organizations (共享、已配置或管理)都不会被移动或删除。

AWS IAM Identity Center (SSO)

对于没有现有 IAM 身份中心目录的客户,AWS Control Tower 会设置 IAM 身份中心并配置初始目录。当您停用着陆区时,AWS Control Tower 不会对 IAM 身份中心进行任何更改。如果需要,您可以手动删除存储在您的管理账户中的 IAM 身份中心信息。特别是,停用不更改以下这些方面:

  • 不会删除使用账户工厂创建的用户。

  • 由 AWS Control Tower 设置创建的群组不会被删除。

  • AWS Control Tower 创建的权限集不会被删除。

  • AWS 账户与 IAM 身份中心权限集之间的关联不会被删除。

  • IAM 身份中心目录未更改。

角色

在设置过程中,如果您使用控制台,AWS Control Tower 会为您创建某些角色;如果您通过 API 设置着陆区,AWS Control Tower 会要求您创建这些角色。当你停用 landing zone 时,以下角色不会被移除:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Amazon S3 存储桶

在设置过程中,AWS Control Tower 会在日志账户中创建用于记录和访问日志的存储桶。当您停用登录区时,不会删除以下资源:

  • 不会删除日志记录账户中的日志记录和日志记录访问 S3 存储桶。

  • 不会删除日志记录和日志记录访问存储桶的内容。

共享账户

在 AWS Control Tower 设置期间,在安全 OU 中创建了两个共享账户(审计和日志存档)。当您停用登录区时:

  • 在 AWS Control Tower 设置期间创建的共享账户不会关闭。

  • 重新创建 OrganizationAccountAccessRole IAM 角色以符合标准 AWS Organizations 配置。

  • 删除 AWSControlTowerExecution 角色。

预配置账户

AWS Control Tower 客户可以使用账户工厂创建新的 AWS 账户。当您停用登录区时:

  • 不会关闭您使用账户工厂创建的预配置账户。

  • 中的预配置产品不会 AWS Service Catalog 被移除。如果你通过终止它们来清理它们,他们的账户就会被移到根 OU

  • AWS Control Tower 创建的 VPC 不会被移除,关联的 AWS CloudFormation 堆栈集 (BP_ACCOUNT_FACTORY_VPC) 也不会被移除。

  • 重新创建 OrganizationAccountAccessRole IAM 角色以符合标准 AWS Organizations 配置。

  • 删除 AWSControlTowerExecution 角色。

CloudWatch 日志日志组

作为名为的蓝图的一部分aws-controltower/CloudTrailLogs,创建了一个 CloudWatch 日志日志组AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT。不会删除此日志组。相反,将删除蓝图并保留资源。

  • 在设置其他登录区之前,必须手动删除此日志组。

注意

landing zone 3.0 及更高版本的客户无需删除其个人注册账户的 CloudTrail CloudTrail 日志和日志角色,因为这些角色仅在管理账户中为组织级别的跟踪创建。

从着陆区版本 3.2 开始,AWS Control Tower 创建了一条名为的亚马逊 EventBridge 规则AWSControlTowerManagedRule。此规则是在所有受管辖区域的每个成员账户中创建的。在停用期间,该规则不会自动删除,因此您必须先从所有受管辖区域的共享账户和成员账户中手动将其删除,然后才能在新区域中设置着陆区。

中给出了如何删除 AWS Control Tower 资源的程序管理 AWS Control Tower 资源