廃止処理中に削除されないリソース - AWS Control Tower

廃止処理中に削除されないリソース

ランディングゾーンを廃止しても、AWS Control Tower セットアッププロセスは完全には元に戻りません。一部のリソースは残るため、手動で削除しなければならない場合があります。

AWS Organizations

既存の AWS Organizations 組織を持たないお客様の場合、AWS Control Tower により、[Security] (セキュリティ) と [Sandbox] (サンドボックス) という名前の 2 つの組織単位 (OU) を持つ組織が設定されます。ランディングゾーンを廃止すると、組織の階層は次のように保持されます。

  • AWS Control Tower コンソールから作成した組織単位 (OU) は削除されません。

  • セキュリティ OU とサンドボックス OU は削除されません。

  • 組織は AWS Organizations から削除されません。

  • AWS Organizations のアカウント (共有、プロビジョニングまたは管理) は移動または削除されません。

AWS IAM Identity Center (SSO)

既存の IAM Identity Center ディレクトリを持たないお客様の場合、AWS Control Tower により、IAM Identity Center が設定され、初期ディレクトリが構成されます。ランディングゾーンを廃止しても、AWS Control Tower は、IAM Identity Center に対して変更を行いません。必要であれば、管理アカウントに保管されている IAM Identity Center 情報は手動で削除できます。特に、これらの領域に廃止による変更はありません。

  • Account Factory で作成されたユーザーは削除されません。

  • AWS Control Tower のセットアップによって作成されたグループは削除されません。

  • AWS Control Tower によって作成された許可セットは削除されません。

  • AWS アカウントと IAM Identity Center 許可セット間の関連付けは削除されません。

  • IAM Identity Center のディレクトリは変更されません。

  • AWS Control Tower のこれらの IAM Identity Center ポリシーは削除されません。

    • AWSControlTowerAdminPolicy

    • AWSControlTowerCloudTrailRolePolicy

    • AWSControlTowerStackSetRolePolicy

ロール

セットアップ中、AWS Control Tower はユーザーに代わって特定のロールを作成するか (コンソールを使用する場合)、それらのロールを作成するようユーザーに求めます (API を使用してランディングゾーンをセットアップする場合)。ランディングゾーンを廃止しても、次のロールは削除されません。

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Amazon S3 バケット

セットアップ中、AWS Control Tower はログ用とログアクセス用のロギングアカウントでバケットを作成します。ランディングゾーンを廃止しても、次のリソースは削除されません。

  • ロギングアカウント内のロギングおよびロギングアクセス S3 バケットは削除されません。

  • ロギングおよびロギングアクセスバケットの内容は削除されません。

共有アカウント

AWS Control Tower のセットアップ時に、セキュリティ OU に 2 つの共有アカウント (監査とログアーカイブ) が作成されます。ランディングゾーンを廃止した場合:

  • AWS Control Tower のセットアップ中に作成された共有アカウントは閉鎖されません。

  • OrganizationAccountAccessRole IAM ロールは、標準の AWS Organizations 設定に合わせて再作成されます。

  • AWSControlTowerExecution ロールが削除されます。

プロビジョニングされたアカウント

AWS Control Tower カスタマーは、Account Factory を使用して新しい AWS アカウントを作成できます。ランディングゾーンを廃止した場合:

  • Account Factory で作成したプロビジョニングされたアカウントは閉鎖されません。

  • AWS Service Catalog のプロビジョニングされた製品は削除されません。それらを終了してクリーンアップすると、それらのアカウントは [Root OU] (ルート OU) に移動されます。

  • AWS Control Tower によって作成された VPC は削除されず、関連する AWS CloudFormation スタックセット (BP_ACCOUNT_FACTORY_VPC) も削除されません。

  • OrganizationAccountAccessRole IAM ロールは、標準の AWS Organizations 設定に合わせて再作成されます。

  • AWSControlTowerExecution ロールが削除されます。

CloudWatch Logs ロググループ

aws-controltower/CloudTrailLogs という CloudWatch Logs ロググループが、AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT という名前のブループリントの一部として作成されます。このロググループは削除されません。代わりに、ブループリントが削除され、リソースは保持されます。

  • このロググループは、別のランディングゾーンを設定する前に手動で削除する必要があります。

注記

ランディングゾーン 3.0 以降のお客様は、個々の登録済みアカウントの CloudTrail ログと CloudTrail ログのロールを削除する必要はありません。これらは、組織レベルの証跡用に管理アカウントでのみ作成されるためです。

ランディングゾーンバージョン 3.2 以降、AWS Control Tower は AWSControlTowerManagedRule という Amazon EventBridge ルールを作成します。このルールは、すべての管理対象リージョンで、メンバーアカウントごとに作成されます。ルールは廃止時に自動的に削除されないため、すべての管理対象リージョンで共有アカウントおよびメンバーアカウントから手動で削除してから、新しいリージョンでランディングゾーンを設定する必要があります。

AWS Control Tower リソースを削除する方法の手順については、「AWS Control Tower リソースを削除する」を参照してください。