Recursos no eliminados durante la retirada - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Recursos no eliminados durante la retirada

La retirada de una zona de aterrizaje no revierte por completo el proceso de configuración de AWS Control Tower. Quedan algunos recursos, que pueden eliminarse manualmente.

AWS Organizations

Para los clientes sin AWS Organizations organizaciones existentes, AWS Control Tower configura una organización con una o más unidades organizativas (OUs). La unidad organizativa de seguridad designada y la unidad organizativa Sandbox creada opcionalmente. Cuando se retira la zona de inicio, se mantiene la jerarquía de la organización, de la siguiente manera:

  • Las unidades organizativas (OUs) que haya creado desde la consola de AWS Control Tower no se eliminan.

  • La seguridad y el entorno de pruebas no OUs se eliminan.

  • La organización no se elimina de AWS Organizations.

  • No se mueve ni elimina ninguna cuenta AWS Organizations (compartida, aprovisionada o de gestión).

AWS IAM Identity Center (SSO)

Para los clientes que no disponen de un directorio de IAM Identity Center, AWS Control Tower establece IAM Identity Center y configura un directorio inicial. Al retirar la zona de aterrizaje, AWS Control Tower no realiza cambios en IAM Identity Center. Si es necesario, puede eliminar la información de IAM Identity Center almacenada en la cuenta de administración manualmente. En particular, estas zonas no se modifican mediante la retirada:

  • Los usuarios creados con Account Factory no se quitan.

  • Los grupos creados por la configuración de AWS Control Tower no se eliminan.

  • Los conjuntos de permisos creados por AWS Control Tower no se eliminan.

  • No se eliminan las asociaciones entre AWS las cuentas y los conjuntos de permisos del IAM Identity Center.

  • Los directorios de IAM Identity Center no se modifican.

  • No se eliminan estas políticas de IAM Identity Center para AWS Control Tower:

    • AWSControlTowerAdminPolicy

    • AWSControlTowerCloudTrailRolePolicy

    • AWSControlTowerStackSetRolePolicy

Roles

Durante la configuración, AWS Control Tower le crea determinadas funciones si utiliza la consola, o le pide que las cree si configura su landing zone a través de APIs. Al retirar la zona de aterrizaje, no se eliminan los siguientes roles:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

nota

El AWSControlTowerExecution rol en las cuentas de los miembros se eliminará cuando se elimine landing zone, tanto si AWS Control Tower creó el rol en su nombre como si lo creó manualmente. Sin embargo, si ha asociado políticas adicionales a esta función o ha modificado las políticas asociadas a esta función, es posible que AWS Control Tower no pueda eliminar esta función durante la eliminación de la zona de destino. En estos casos, la eliminación de la zona de destino se realizará correctamente, pero el rol se mantendrá en su cuenta de miembro.

Buckets de Amazon S3

Durante la configuración, AWS Control Tower crea depósitos en la cuenta del archivo de registros de AWS CloudTrail y en la cuenta agregadora central de configuración para la integración de AWS Config. AWS Control Tower crea depósitos para el registro y el acceso a los registros en cada una de estas cuentas. Al retirar la zona de inicio, no se quitan los siguientes recursos:

  • Los depósitos S3 de registro y acceso al registro de la cuenta del archivo de registros no se eliminan.

  • No se eliminan los depósitos S3 de registro y acceso al registro en la cuenta agregadora central de configuración.

  • El contenido de los depósitos de registro y acceso al registro de cada una de estas cuentas no se elimina.

Cuentas de integración de servicios

AWS Control Tower requiere que cada configuración de integración de servicios tenga una cuenta central. Esta cuenta puede o no crearse durante la configuración de la Torre de Control de AWS en función de la versión de landing zone. Al retirar la zona de inicio:

  • Las cuentas de integración de servicios que se crearon durante la configuración de la Torre de Control de AWS no se cierran.

  • La función OrganizationAccountAccessRole de IAM se recrea para alinearla con la configuración estándar AWS Organizations .

  • Se quita el rol de AWSControlTowerExecution.

Cuentas aprovisionadas

Los clientes de AWS Control Tower pueden usar Account Factory para crear AWS cuentas nuevas. Al retirar la zona de inicio:

  • Las cuentas aprovisionadas que creó con Account Factory no están cerradas.

  • Los productos aprovisionados no AWS Service Catalog se eliminan. Si los elimina finalizándolos, las cuentas se trasladarán a la OU raíz.

  • No se elimina la VPC que creó AWS Control Tower ni el conjunto de pilas de AWS CloudFormation asociado (BP_ACCOUNT_FACTORY_VPC).

  • La función de OrganizationAccountAccessRole IAM se recrea para alinearla con la configuración estándar. AWS Organizations

  • Se quita el rol de AWSControlTowerExecution.

CloudWatch Registros: Grupo de registros

  • Se crea un grupo de CloudWatch registrosaws-controltower/CloudTrailLogs,, como parte del esquema denominadoAWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER. Este grupo de registro no se quita. En su lugar, se elimina el proyecto y se conservan los recursos.

nota

Los clientes de landing zone 3.0 y versiones posteriores no necesitan eliminar los CloudTrail CloudTrail registros y las funciones de registro de sus cuentas individuales inscritas, ya que estos se crean únicamente en la cuenta de administración, para el seguimiento a nivel de la organización.

A partir de la versión 3.2 de landing zone, AWS Control Tower crea una EventBridge regla de Amazon llamadaAWSControlTowerManagedRule. Esta regla se crea en cada cuenta de miembro, por cada región gobernada. La regla no se elimina automáticamente durante el desmantelamiento, por lo que debes eliminarla manualmente de las cuentas de integración de servicios y las cuentas de los miembros de todas las regiones gobernadas antes de poder configurar una landing zone en una nueva región.

Los procedimientos para eliminar los recursos de AWS Control Tower se detallan en Eliminación de recursos de AWS Control Tower.