Sumber daya tidak dihapus selama penonaktifan - AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sumber daya tidak dihapus selama penonaktifan

Menonaktifkan landing zone tidak sepenuhnya membalikkan proses penyiapan AWS Control Tower. Sumber daya tertentu tetap ada, yang dapat dihapus secara manual.

AWS Organizations

Untuk pelanggan tanpa AWS Organizations organisasi yang ada, AWS Control Tower menyiapkan organisasi dengan satu atau beberapa unit organisasi (OUs). OU Keamanan yang ditunjuk dan secara opsional dibuat Sandbox OU. Saat Anda menonaktifkan landing zone Anda, hierarki organisasi dipertahankan, sebagai berikut:

  • Unit Organisasi (OUs) yang Anda buat dari konsol AWS Control Tower tidak dihapus.

  • Keamanan dan Kotak Pasir OUs tidak dihapus.

  • Organisasi tidak dihapus dari AWS Organizations.

  • Tidak ada akun di AWS Organizations (bersama, disediakan, atau manajemen) yang dipindahkan atau dihapus.

AWS IAM Identity Center (SSO)

Untuk pelanggan tanpa direktori IAM Identity Center yang ada, AWS Control Tower menyiapkan IAM Identity Center dan mengonfigurasi direktori awal. Saat Anda menonaktifkan landing zone, AWS Control Tower tidak membuat perubahan pada IAM Identity Center. Jika diperlukan, Anda dapat menghapus informasi Pusat Identitas IAM yang disimpan di akun manajemen Anda secara manual. Secara khusus, area ini tidak berubah dengan menonaktifkan:

  • Pengguna yang dibuat dengan Account Factory tidak akan dihapus.

  • Grup yang dibuat oleh penyiapan AWS Control Tower tidak dihapus.

  • Set izin yang dibuat oleh AWS Control Tower tidak dihapus.

  • Asosiasi antara AWS akun dan kumpulan izin Pusat Identitas IAM tidak dihapus.

  • Direktori IAM Identity Center tidak diubah.

  • Kebijakan Pusat Identitas IAM untuk AWS Control Tower ini tidak dihapus:

    • AWSControlTowerAdminPolicy

    • AWSControlTowerCloudTrailRolePolicy

    • AWSControlTowerStackSetRolePolicy

Peran

Selama penyiapan, AWS Control Tower membuat peran tertentu untuk Anda jika Anda menggunakan konsol, atau meminta Anda untuk membuat peran ini jika Anda mengatur landing zone melalui APIs. Saat Anda menonaktifkan landing zone, peran berikut tidak akan dihapus:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

catatan

AWSControlTowerExecutionPeran dalam akun anggota akan dihapus saat landing zone dihapus, baik AWS Control Tower membuat peran atas nama Anda atau jika Anda membuat peran secara manual. Namun, jika Anda telah melampirkan kebijakan tambahan pada peran ini, atau mengubah kebijakan yang dilampirkan pada peran ini, AWS Control Tower mungkin tidak dapat menghapus peran ini selama penghapusan Zona Pendaratan. Untuk kasus seperti itu, penghapusan Zona Pendaratan akan berhasil tetapi peran akan dipertahankan di akun anggota Anda.

Bucket Amazon S3

Selama penyiapan, AWS Control Tower membuat bucket di akun arsip log untuk AWS CloudTrail dan di akun agregator pusat konfigurasi untuk integrasi AWS Config. AWS Control Tower membuat bucket untuk logging dan untuk akses logging di masing-masing akun ini. Saat Anda menonaktifkan landing zone, sumber daya berikut tidak akan dihapus:

  • Logging dan logging access S3 bucket di akun arsip log tidak dihapus.

  • Bucket S3 akses logging dan logging di akun agregator pusat konfigurasi tidak dihapus.

  • Isi bucket akses logging dan logging di masing-masing akun ini tidak dihapus.

Integrasi layanan Akun

AWS Control Tower mengharuskan setiap konfigurasi integrasi layanan memiliki akun pusat. Akun ini mungkin atau mungkin tidak dibuat selama penyiapan AWS Control Tower berdasarkan versi landing zone. Saat Anda menonaktifkan landing zone Anda:

  • Akun integrasi layanan yang dibuat selama penyiapan AWS Control Tower tidak ditutup.

  • Peran OrganizationAccountAccessRole IAM dibuat ulang untuk menyelaraskan dengan konfigurasi standar. AWS Organizations

  • AWSControlTowerExecutionPeran dihapus.

Akun yang Disediakan

Pelanggan AWS Control Tower dapat menggunakan akun pabrik untuk membuat AWS akun baru. Saat Anda menonaktifkan landing zone Anda:

  • Akun yang disediakan yang Anda buat dengan Account Factory tidak ditutup.

  • Produk yang disediakan tidak AWS Service Catalog dihapus. Jika Anda membersihkannya dengan menghentikannya, akun mereka dipindahkan ke Root OU.

  • VPC yang dibuat AWS Control Tower tidak dihapus, dan AWS CloudFormation stack set (BP_ACCOUNT_FACTORY_VPC) terkait tidak dihapus.

  • Peran OrganizationAccountAccessRole IAM dibuat ulang untuk menyelaraskan dengan konfigurasi standar. AWS Organizations

  • AWSControlTowerExecutionPeran dihapus.

CloudWatch Grup Log Log

  • Sebuah grup CloudWatch log log,aws-controltower/CloudTrailLogs, dibuat sebagai bagian dari cetak biru bernama. AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER Grup log ini tidak dihapus. Sebaliknya, cetak biru dihapus dan sumber daya dipertahankan.

catatan

Pelanggan di landing zone 3.0 dan yang lebih baru tidak perlu menghapus log akun dan CloudTrail CloudTrail log peran masing-masing yang terdaftar, karena ini dibuat di akun manajemen saja, untuk jejak tingkat organisasi.

Dimulai dengan landing zone versi 3.2, AWS Control Tower membuat EventBridge aturan Amazon, yang disebutAWSControlTowerManagedRule. Aturan ini dibuat di setiap akun anggota, untuk semua Wilayah yang diatur. Aturan tidak dihapus secara otomatis selama penonaktifan, jadi Anda harus menghapusnya secara manual dari akun integrasi layanan dan akun anggota untuk semua Wilayah yang diatur sebelum Anda dapat mengatur landing zone di Wilayah baru.

Prosedur untuk cara menghapus sumber daya AWS Control Tower diberikan dalamHapus sumber daya AWS Control Tower.