Visão geral do processo de desativação
Ao solicitar a desativação da zona de pouso, o AWS Control Tower realiza as ações a seguir.
-
Desativa cada controle de detecção habilitado na zona de pouso. O AWS Control Tower exclui os recursos da CloudFormation compatíveis com o controle.
-
Desabilita cada controle preventivo removendo as políticas de controle de serviços (SCPs) do AWS Organizations. Se uma política estiver vazia (e deverá estar após a remoção de todas as SCPs gerenciadas pelo AWS Control Tower), o AWS Control Tower desanexará e excluirá a política por completo.
-
Exclui todos os esquemas implantados como CloudFormation StackSets.
-
Exclui todos os esquemas implantados como Pilhas do CloudFormation em todas as regiões.
-
Para cada conta provisionada, o AWS Control Tower realiza as seguintes ações durante o processo de desativação.
-
Exclui os registros de cada conta de fábrica de contas.
-
Revoga as permissões do AWS Control Tower para a conta removendo o perfil do IAM criado pelo AWS Control Tower (a menos que políticas complementares tenham sido adicionadas a ele) e recria o perfil
OrganizationsFullAccessRolepadrão do IAM. -
Remove registros da conta do AWS Service Catalog.
-
Remove o produto e o portfólio da fábrica de contas do AWS Service Catalog.
-
-
Exclui os esquemas das contas compartilhadas (de auditoria e de arquivamento de logs).
-
Revoga as permissões do AWS Control Tower das contas compartilhadas removendo o perfil do IAM criado pelo AWS Control Tower (a menos que políticas adicionais tenham sido adicionadas a ele) e recria o perfil do IAM
OrganizationsFullAccessRole. -
Exclui registros relacionados às contas compartilhadas.
-
Exclui registros relacionados a UOs criadas pelo cliente.
-
Exclui registros internos que identificam a região de origem.
nota
Após a desativação, será possível remover o esquema da VPC da Fábrica de contas (BP_ACCOUNT_FACTORY_VPC) para limpar as rotas e gateways NAT, se sua VPC não estiver vazia.
