解除委任期間未移除的資源 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

解除委任期間未移除的資源

停用 landing zone 並不會完全顛倒 AWS Control Tower 的設定程序。某些資源仍然存在,可以手動移除。

AWS Organizations

對於沒有現有組 AWS Organizations 織的客戶,AWS Control Tower 會設定一個組織,其中包含兩個組織單位 (OU),分別為安全沙箱。當您解除委任登陸區域時,會保留組織的階層,如下所示:

  • 您從 AWS Control Tower 主控台建立的組織單位 (OU) 不會移除。

  • 不會移除安全性和沙箱 OU。

  • 不會從中刪除組織 AWS Organizations。

  • 不會移動或移除 AWS Organizations (共用、佈建或管理) 中的帳戶。

AWS IAM Identity Center (單一登入)

對於沒有現有 IAM 身分中心目錄的客戶,AWS Control Tower 會設定 IAM 身分中心並設定初始目錄。解除使用 landing zone 時,AWS Control Tower 不會對 IAM 身分中心進行任何變更。如有需要,您可以手動刪除儲存在管理帳戶中的 IAM 身分中心資訊。特別是,解除委任不會變更這些區域:

  • 使用帳戶團隊建立的使用者不會被移除。

  • 不會移除 AWS Control Tower 設定所建立的群組。

  • AWS Control Tower 建立的許可集不會移除。

  • 不會移除 AWS 帳戶和 IAM 身分中心權限集之間的關聯。

  • IAM 身分中心目錄不會變更。

角色

在設定期間,如果您使用主控台,AWS Control Tower 會為您建立特定角色,或者如果您透過 API 設定 landing zone 域,則會要求您建立這些角色。當您解除使用 landing zone 時,不會移除下列角色:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Amazon S3 儲存貯體

在安裝期間,AWS Control Tower 會在記錄帳戶中建立值區以進行記錄和記錄存取。當您解除委任登陸區域時,不會移除下列資源:

  • 不會移除日誌帳戶中的日誌和日誌記錄存取 S3 儲存貯體。

  • 不會移除日誌和日誌記錄存取儲存貯體的內容。

共享帳戶

在 AWS Control Tower 設定期間,會在安全 OU 中建立兩個共用帳戶 (稽核和日誌存檔)。當您解除委任登陸區域時:

  • 在 AWS Control Tower 設定期間建立的共用帳戶不會關閉。

  • OrganizationAccountAccessRoleIAM 角色會重新建立,以與標準 AWS Organizations 組態保持一致。

  • 會移除 AWSControlTowerExecution 角色。

佈建的帳戶

AWS Control Tower 客戶可以使用帳戶工廠建立新的 AWS 帳戶。當您解除委任登陸區域時:

  • 您使用帳戶團隊建立的佈建帳戶不會關閉。

  • 中佈建的產品 AWS Service Catalog 不會移除。如果您透過終止這些項目來清除它們,其帳戶就會移至根 OU

  • AWS Control Tower 建立的 VPC 不會移除,而且不會移除關聯的 AWS CloudFormation 堆疊集 (BP_ACCOUNT_FACTORY_VPC)。

  • OrganizationAccountAccessRoleIAM 角色會重新建立,以與標準 AWS Organizations 組態保持一致。

  • 會移除 AWSControlTowerExecution 角色。

CloudWatch 記錄檔記錄群組

記 CloudWatch 錄記錄群組會建立為名為之藍圖的一部分AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENTaws-controltower/CloudTrailLogs不會移除此日誌群組。而是刪除藍圖並保留資源。

  • 在您設定其他登陸區域之前,必須先手動刪除此日誌群組。

注意

landing zone 3.0 及更新版本的客戶不需要刪除其個別註冊帳戶的 CloudTrail 記錄檔和記 CloudTrail 錄角色,因為這些角色僅在管理帳戶中建立,適用於組織層級追蹤。

從 3.2 版 landing zone 開始,AWS Control Tower 會建立一個叫做的 Amazon EventBridge 規則AWSControlTowerManagedRule。此規則會在每個成員帳戶中建立,適用於所有受控管的區域。在解除委任期間不會自動刪除規則,因此您必須先從所有受控管區域的共用帳戶和成員帳戶中手動刪除該規則,然後才能在新區域中設定 landing zone 域。

有關如何刪除 AWS Control Tower 資源的程序,請參閱管理 AWS Control Tower 資源