本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
逐步解說:解除委任 AWS Control Tower 登陸區
AWS Control Tower 可讓您設定和管理安全的多帳戶 AWS 環境 (稱為登陸區域)。清理 AWS Control Tower 分配的所有資源的程序稱為停用 landing zone。
如果您不想再使用 AWS Control Tower,則自動解除委任工具會清除 AWS Control Tower 分配的資源。若要開始自動化解除委任程序,請導覽至「landing zone 設定」頁面,選取「解除委任」索引標籤,然後選擇「解除使用登陸區域」。
如需解除委任期間執行的動作清單,請參閱解除委任程序概觀。
警告
手動刪除所有 AWS Control Tower 資源與解除委任不同。它將不允許您設置新的 landing zone。
您的數據和現 AWS Organizations 有數據不會通過以下方式更改退役過程。
-
AWS Control Tower 不會移除您的資料,只會移除其建立的登陸區域部分。
-
解除委任程序完成後,仍會保留一些資源成品,例如 Amazon S3 儲存貯體和 Amazon CloudWatch 日誌日誌群組。在設定其他登陸區域之前,必須手動刪除這些資源,以避免產生維護特定資源的相關可能成本。
-
您無法使用自動解除委任來移除部分設定的登陸區域。如果您的登陸區域設定程序失敗,您必須解決失敗狀態並將其設定為能夠自動解除委任,否則就必須個別手動刪除資源。
解除委任登陸區域是具有重大後果的程序,且無法復原。以下各節說明 AWS Control Tower 採取的解除委任動作,以及停用後保留的成品。
重要
強烈建議您只有在想要停止使用登陸區域時,才執行此解除委任程序。解除委任後,將無法重新建立現有的登陸區域。
解除委任後所需的手動清除工作
-
如果您在解除委任後建立新的 landing zone,或遵循使用您自己現有的記錄封存或稽核帳戶的程序,則必須為記錄封存和稽核帳戶指定不同的電子郵件地址。
-
必須先手動刪除「 CloudWatch 記錄」記錄群組
aws-controltower/CloudTrailLogs,才能設置其他 landing zone 域。 -
必須手動移除或重新命名兩個具有日誌保留名稱的 Amazon S3 儲存貯體。
-
您必須手動刪除或重新命名現有的安全性和沙箱組織單位。
注意
您必須先刪除記錄和稽核帳戶,但不要刪除管理帳戶,才能刪除 AWS Control Tower 安全 OU 組織。若要刪除這些帳戶,您必須何時以 root 使用者身分登入稽核帳戶和日誌帳戶,並個別刪除它們。
-
您可能希望手動刪除 AWS Control Tower 的 AWS IAM Identity Center (IAM 身分中心) 組態,但可以繼續使用現有的 IAM 身分中心組態。
-
您可能希望移除 AWS Control Tower 建立的 VPC,並移除關聯的 AWS CloudFormation 堆疊集。
您必須遵循下列其他步驟,才能在新 AWS 區域中設置新的 landing zone 域。
-
透過 CLI 輸入下列指令:
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com -
從所有受控管區域的共用帳戶和成員帳戶中刪除其餘的受管理規則 (稱為
AWSControlTowerManagedRule)。AWSControlTowerManagedRule是一個 Amazon 的 EventBridge 規則。
-
