Risorse non rimosse durante la disattivazione - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risorse non rimosse durante la disattivazione

La disattivazione di una landing zone non inverte completamente il processo di configurazione di AWS Control Tower. Restano alcune risorse, che possono essere rimosse manualmente.

AWS Organizations

Per i clienti senza AWS Organizations organizzazioni esistenti, AWS Control Tower configura un'organizzazione con una o più unità organizzative (OUs). L'unità organizzativa di sicurezza designata e l'unità organizzativa Sandbox creata opzionalmente. Quando si disattiva la landing zone, la gerarchia dell'organizzazione viene mantenuta, come segue:

  • Le unità organizzative (OUs) create dalla console AWS Control Tower non vengono rimosse.

  • Security e Sandbox non OUs vengono rimossi.

  • L'organizzazione non viene eliminata da AWS Organizations.

  • Nessun account AWS Organizations (condiviso, assegnato o di gestione) viene spostato o rimosso.

AWS IAM Identity Center (SSO)

Per i clienti che non dispongono di una directory IAM Identity Center esistente, AWS Control Tower configura IAM Identity Center e configura una directory iniziale. Quando disattivi la landing zone, AWS Control Tower non apporta modifiche a IAM Identity Center. Se necessario, puoi eliminare manualmente le informazioni dell'IAM Identity Center memorizzate nel tuo account di gestione. In particolare, queste aree sono invariate dalla disattivazione:

  • Gli utenti creati con Account Factory non vengono rimossi.

  • I gruppi creati dalla configurazione di AWS Control Tower non vengono rimossi.

  • I set di autorizzazioni creati da AWS Control Tower non vengono rimossi.

  • Le associazioni tra AWS account e set di autorizzazioni IAM Identity Center non vengono rimosse.

  • Le directory di IAM Identity Center non vengono modificate.

  • Queste policy di IAM Identity Center per AWS Control Tower non vengono rimosse:

    • AWSControlTowerAdminPolicy

    • AWSControlTowerCloudTrailRolePolicy

    • AWSControlTowerStackSetRolePolicy

Roles

Durante la configurazione, AWS Control Tower crea determinati ruoli per te se usi la console, oppure ti chiede di creare questi ruoli se configuri la tua landing zone tramite APIs. Quando disattivate la vostra landing zone, i seguenti ruoli non vengono rimossi:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Nota

Il AWSControlTowerExecution ruolo negli account dei membri verrà eliminato quando la landing zone viene eliminata, indipendentemente dal fatto che AWS Control Tower abbia creato il ruolo per tuo conto o se lo hai creato manualmente. Tuttavia, se hai associato policy aggiuntive a questo ruolo o modificato le policy associate a questo ruolo, AWS Control Tower potrebbe non essere in grado di eliminare questo ruolo durante l'eliminazione della Landing Zone. In questi casi, l'eliminazione della Landing Zone avrà esito positivo, ma il ruolo verrà mantenuto nell'account membro.

Bucket Amazon S3

Durante la configurazione, AWS Control Tower crea bucket nell'account di archiviazione dei log per AWS CloudTrail e nell'account di aggregazione centrale di configurazione per l'integrazione con AWS Config. AWS Control Tower crea bucket per la registrazione e per la registrazione degli accessi in ciascuno di questi account. Quando si disattiva la landing zone, le seguenti risorse non vengono rimosse:

  • I bucket S3 di accesso alla registrazione e alla registrazione nell'account di archivio dei registri non vengono rimossi.

  • I bucket S3 di registrazione e accesso alla registrazione nell'account di aggregazione centrale di configurazione non vengono rimossi.

  • I contenuti dei bucket di accesso alla registrazione e alla registrazione in ciascuno di questi account non vengono rimossi.

Account di integrazione dei servizi

AWS Control Tower richiede che ogni configurazione di integrazione del servizio disponga di un account centrale. Questo account può essere creato o meno durante la configurazione di AWS Control Tower in base alla versione landing zone. Quando si disattiva la landing zone:

  • Gli account di integrazione dei servizi creati durante la configurazione di AWS Control Tower non vengono chiusi.

  • Il ruolo OrganizationAccountAccessRole IAM viene ricreato per allinearlo alla configurazione standard AWS Organizations .

  • Il ruolo AWSControlTowerExecution viene rimosso.

Account di cui è stato eseguito il provisioning

I clienti di AWS Control Tower possono utilizzare account factory per creare nuovi AWS account. Quando si disattiva la landing zone:

  • Gli account di provisioning creati con account factory non vengono chiusi.

  • I prodotti forniti non AWS Service Catalog vengono rimossi. Se li ripulisci chiudendoli, i relativi account vengono spostati nell'unità organizzativa principale.

  • Il VPC creato da AWS Control Tower non viene rimosso e lo AWS CloudFormation stack set associato (BP_ACCOUNT_FACTORY_VPC) non viene rimosso.

  • Il ruolo OrganizationAccountAccessRole IAM viene ricreato per allinearlo alla configurazione standard. AWS Organizations

  • Il ruolo AWSControlTowerExecution viene rimosso.

CloudWatch Registri (Log Group)

  • Un gruppo di CloudWatch log dei registri,aws-controltower/CloudTrailLogs, viene creato come parte del blueprint denominato. AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER Questo gruppo di log non viene rimosso. Al contrario, il blueprint viene eliminato e le risorse vengono mantenute.

Nota

I clienti della landing zone 3.0 e versioni successive non devono eliminare i CloudTrail CloudTrail registri e i ruoli di registro dei singoli account registrati, poiché questi vengono creati solo nell'account di gestione, per il percorso a livello di organizzazione.

A partire dalla versione 3.2 della landing zone, AWS Control Tower crea una EventBridge regola Amazon, chiamataAWSControlTowerManagedRule. Questa regola viene creata in ogni account membro, per tutte le regioni governate. La regola non viene eliminata automaticamente durante la disattivazione, quindi è necessario eliminarla manualmente dagli account di integrazione del servizio e dagli account dei membri di tutte le regioni governate prima di poter configurare una landing zone in una nuova regione.

Le procedure per eliminare le risorse di AWS Control Tower sono riportate inRimuovi le risorse AWS Control Tower.