Recursos não removidos durante a desativação - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recursos não removidos durante a desativação

A desativação de uma zona de pouso não reverte totalmente o processo de configuração do AWS Control Tower. Alguns recursos permanecem, os quais podem ser removidos manualmente.

AWS Organizations

Para clientes sem AWS Organizations organizações existentes, o AWS Control Tower configura uma organização com uma ou mais unidades organizacionais (OUs). A OU de segurança designada e a OU Sandbox criada opcionalmente. Ao desativar a zona de destino, a hierarquia da organização é preservada, da seguinte forma:

  • As unidades organizacionais (OUs) que você criou no console do AWS Control Tower não são removidas.

  • A Segurança e a Sandbox não OUs são removidas.

  • A organização não foi excluída do AWS Organizations.

  • Nenhuma conta AWS Organizations (compartilhada, provisionada ou gerenciada) é movida ou removida.

Centro de Identidade do AWS IAM (SSO)

Para clientes sem um diretório existente do Centro de Identidade do IAM, o AWS Control Tower configura o Centro de Identidade do IAM e configura um diretório inicial. Quando você desativa a zona de pouso, o AWS Control Tower não faz alterações no Centro de Identidade do IAM. Se necessário, você pode excluir manualmente as informações do Centro de Identidade do IAM armazenadas na conta de gerenciamento. Estas áreas, especificamente, permanecem inalteradas com a desativação:

  • Os usuários criados com a fábrica de contas não são removidos.

  • Os grupos criados pela configuração do AWS Control Tower não são removidos.

  • Os conjuntos de permissões criados pelo AWS Control Tower não são removidos.

  • As associações entre AWS contas e conjuntos de permissões do IAM Identity Center não são removidas.

  • Os diretórios do Centro de Identidade do IAM não são alterados.

  • Essas políticas do Centro de Identidade do IAM para AWS Control Tower não são removidas:

    • AWSControlTowerAdminPolicy

    • AWSControlTowerCloudTrailRolePolicy

    • AWSControlTowerStackSetRolePolicy

Perfis

Durante a configuração, o AWS Control Tower cria determinadas funções para você se você usar o console, ou solicita que você crie essas funções se você configurar sua landing zone por meio do APIs. Ao desativar a zona de pouso, os seguintes perfis não são removidos:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

nota

A AWSControlTowerExecution função nas contas dos membros será excluída quando o landing zone for excluído, independentemente de o AWS Control Tower ter criado a função em seu nome ou se você tiver criado a função manualmente. No entanto, se você anexou políticas adicionais a essa função ou modificou as políticas associadas a essa função, o AWS Control Tower pode não conseguir excluir essa função durante a exclusão da zona de pouso. Nesses casos, a exclusão da Landing Zone será bem-sucedida, mas a função será mantida em sua conta de membro.

Buckets do Amazon S3

Durante a configuração, o AWS Control Tower cria buckets na conta de arquivamento de logs da AWS CloudTrail e na conta agregadora central de configuração para a integração do AWS Config. O AWS Control Tower cria buckets para registro e acesso em log em cada uma dessas contas. Ao desativar a zona de destino, os seguintes recursos não são removidos:

  • O registro e o registro de acesso aos buckets do S3 na conta de arquivamento de registros não são removidos.

  • O registro e o registro de buckets do S3 de acesso na conta agregadora central de configuração não são removidos.

  • O conteúdo do registro e dos buckets de acesso ao registro em cada uma dessas contas não é removido.

Contas de integração de serviços

O AWS Control Tower exige que cada configuração de integração de serviços tenha uma conta central. Essa conta pode ou não ser criada durante a configuração do AWS Control Tower com base na versão da landing zone. Ao desativar a zona de destino:

  • As contas de integração de serviços que foram criadas durante a configuração do AWS Control Tower não são fechadas.

  • A função OrganizationAccountAccessRole do IAM é recriada para se alinhar à configuração padrão AWS Organizations .

  • A função AWSControlTowerExecution é removida.

Contas provisionadas

Os clientes do AWS Control Tower podem usar a fábrica de contas para criar novas AWS contas. Ao desativar a zona de destino:

  • As contas provisionadas criadas com a Fábrica de contas não são encerradas.

  • Os produtos provisionados não AWS Service Catalog são removidos. Se você limpá-los encerrando-os, suas contas serão movidas para a UO raiz.

  • A VPC que o AWS Control Tower criou não é removida, e o conjunto de pilhas associado do AWS CloudFormation (BP_ACCOUNT_FACTORY_VPC) não é removido.

  • A função OrganizationAccountAccessRole do IAM é recriada para se alinhar à configuração padrão AWS Organizations .

  • A função AWSControlTowerExecution é removida.

CloudWatch Grupo de registros

  • Um grupo de CloudWatch registros de registrosaws-controltower/CloudTrailLogs,, é criado como parte do blueprint chamadoAWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER. Esse grupo de logs não é removido. Em vez disso, o esquema é excluído e os recursos são mantidos.

nota

Os clientes na landing zone 3.0 e versões posteriores não precisam excluir os registros e CloudTrail as funções de CloudTrail registros de suas contas individuais inscritas, pois eles são criados somente na conta de gerenciamento, para a trilha em nível organizacional.

A partir da versão 3.2 do landing zone, o AWS Control Tower cria uma EventBridge regra da Amazon, chamadaAWSControlTowerManagedRule. Essa regra é criada em cada conta-membro, para todas as regiões administradas. A regra não é excluída automaticamente durante o descomissionamento, então você deve excluí-la manualmente das contas de integração de serviços e das contas de membros de todas as regiões governadas antes de poder configurar um landing zone em uma nova região.

Os procedimentos sobre como excluir recursos do AWS Control Tower são fornecidos em Remover recursos do AWS Control Tower.