Ressources non supprimées lors de la mise hors service - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ressources non supprimées lors de la mise hors service

La mise hors service d'une zone d'atterrissage n'inverse pas complètement le processus de configuration d'AWS Control Tower. Certaines ressources sont préservées, mais peuvent être supprimées manuellement.

AWS Organizations

Pour les clients n'ayant pas d' AWS Organizations organisation existante, AWS Control Tower met en place une organisation avec une ou plusieurs unités organisationnelles (OUs). L'unité d'organisation de sécurité désignée et l'unité d'organisation Sandbox éventuellement créée. Lorsque vous désaffectez une zone de destination, la hiérarchie de l'organisation est préservée, comme suit :

  • Les unités organisationnelles (OUs) que vous avez créées depuis la console AWS Control Tower ne sont pas supprimées.

  • La sécurité et le bac à sable ne OUs sont pas supprimés.

  • L'organisation n'est pas supprimée de AWS Organizations.

  • Aucun compte AWS Organizations (partagé, provisionné ou géré) n'est déplacé ou supprimé.

AWS IAM Identity Center (SSO)

Pour les clients ne disposant pas d'un annuaire IAM Identity Center existant, AWS Control Tower met en place IAM Identity Center et configure un répertoire initial. Lorsque vous mettez hors service votre zone de landing zone, AWS Control Tower n'apporte aucune modification à IAM Identity Center. Si nécessaire, vous pouvez supprimer manuellement les informations de l'IAM Identity Center stockées dans votre compte de gestion. Plus spécifiquement, ces éléments ne sont pas concernés par la désaffectation :

  • Les utilisateurs créés avec l'usine de comptes ne sont pas supprimés.

  • Les groupes créés lors de la configuration d'AWS Control Tower ne sont pas supprimés.

  • Les ensembles d'autorisations créés par AWS Control Tower ne sont pas supprimés.

  • Les associations entre les AWS comptes et les ensembles d'autorisations IAM Identity Center ne sont pas supprimées.

  • Les annuaires de l'IAM Identity Center ne sont pas modifiés.

  • Les politiques IAM Identity Center suivantes pour AWS Control Tower ne sont pas supprimées :

    • AWSControlTowerAdminPolicy

    • AWSControlTowerCloudTrailRolePolicy

    • AWSControlTowerStackSetRolePolicy

Roles

Lors de la configuration, AWS Control Tower crée certains rôles pour vous si vous utilisez la console, ou vous demande de créer ces rôles si vous configurez votre zone de landing zone via le APIs. Lorsque vous désactivez votre zone d'atterrissage, les rôles suivants ne sont pas supprimés :

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Note

Le AWSControlTowerExecution rôle dans les comptes membres sera supprimé lors de la suppression de la zone de landing zone, que AWS Control Tower ait créé le rôle en votre nom ou que vous l'ayez créé manuellement. Toutefois, si vous avez associé des politiques supplémentaires à ce rôle, ou si vous avez modifié les politiques associées à ce rôle, AWS Control Tower risque de ne pas être en mesure de supprimer ce rôle lors de la suppression de la Landing Zone. Dans ce cas, la suppression de la zone d'atterrissage aboutira mais le rôle sera conservé dans votre compte de membre.

Compartiments Simple Storage Service (Amazon S3)

Lors de l'installation, AWS Control Tower crée des compartiments dans le compte d'archive de journaux pour AWS CloudTrail et dans le compte d'agrégation central de configuration pour l'intégration d'AWS Config. AWS Control Tower crée des compartiments pour la journalisation et pour l'accès à la journalisation dans chacun de ces comptes. Lorsque vous désaffectez la zone de destination, les ressources suivantes ne sont pas supprimées :

  • Journalisation et accès à la journalisation Les compartiments S3 du compte d'archive de journaux ne sont pas supprimés.

  • Les compartiments S3 de journalisation et d'accès à la journalisation du compte d'agrégateur central de configuration ne sont pas supprimés.

  • Le contenu des compartiments de journalisation et d'accès à la journalisation de chacun de ces comptes n'est pas supprimé.

Comptes d'intégration de services

AWS Control Tower exige que chaque configuration d'intégration de services dispose d'un compte central. Ce compte peut être créé ou non lors de la configuration d'AWS Control Tower en fonction de la version de la zone de landing zone. Lorsque vous désaffectez la zone de destination :

  • Les comptes d'intégration de services créés lors de la configuration d'AWS Control Tower ne sont pas fermés.

  • Le rôle OrganizationAccountAccessRole IAM est recréé pour s'aligner sur la configuration standard AWS Organizations .

  • Le rôle AWSControlTowerExecution est supprimé.

Comptes provisionnés

Les clients d'AWS Control Tower peuvent utiliser Account Factory pour créer de nouveaux AWS comptes. Lorsque vous désaffectez la zone de destination :

  • Les comptes provisionnés que vous avez créés avec Account Factory ne sont pas fermés.

  • Les produits approvisionnés ne AWS Service Catalog sont pas supprimés. Si vous les nettoyez en les résiliant, leurs comptes sont transférés vers l'unité d'organisation racine.

  • Le VPC créé par AWS Control Tower n'est pas supprimé, et le AWS CloudFormation stack set (BP_ACCOUNT_FACTORY_VPC) associé n'est pas supprimé.

  • Le rôle OrganizationAccountAccessRole IAM est recréé pour s'aligner sur la configuration standard AWS Organizations .

  • Le rôle AWSControlTowerExecution est supprimé.

CloudWatch Logs Log Group

  • Un groupe de CloudWatch journaux Logs est créé dans le cadre du plan nomméAWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER. aws-controltower/CloudTrailLogs Ce groupe de journaux n'est pas supprimé. Le plan est supprimé, tandis que les ressources sont conservées.

Note

Les clients utilisant la landing zone 3.0 et les versions ultérieures n'ont pas besoin de supprimer les CloudTrail CloudTrail journaux et les rôles de journal de leur compte inscrit individuel, car ceux-ci sont créés uniquement dans le compte de gestion, pour le suivi au niveau de l'organisation.

À partir de la version 3.2 de landing zone, AWS Control Tower crée une EventBridge règle Amazon, appeléeAWSControlTowerManagedRule. Cette règle est créée dans chaque compte membre, pour toutes les régions gouvernées. La règle n'est pas supprimée automatiquement lors de la mise hors service. Vous devez donc la supprimer manuellement des comptes d'intégration des services et des comptes membres de toutes les régions gouvernées avant de pouvoir configurer une zone d'atterrissage dans une nouvelle région.

Les procédures de suppression des ressources AWS Control Tower sont indiquées dansSupprimer les ressources AWS Control Tower.