Recursos não removidos durante a desativação

A desativação de uma zona de pouso não reverte totalmente o processo de configuração do AWS Control Tower. Alguns recursos permanecem, os quais podem ser removidos manualmente.

AWS Organizations

Para clientes sem organizações do AWS Organizations existentes, o AWS Control Tower configura uma organização com duas unidades organizacionais (UOs), chamadas Segurança e Sandbox. Ao desativar a zona de destino, a hierarquia da organização é preservada, da seguinte forma:

As unidades organizacionais (UOs) que você criou pelo console do AWS Control Tower não são removidas.
As UOs de segurança e sandbox não são removidas.
A organização não é excluída do AWS Organizations.
Nenhuma conta no AWS Organizations (compartilhada, provisionada ou de gerenciamento) é movida ou removida.

AWS IAM Identity Center (SSO)

Para clientes sem um diretório existente do Centro de Identidade do IAM, o AWS Control Tower configura o Centro de Identidade do IAM e configura um diretório inicial. Quando você desativa a zona de pouso, o AWS Control Tower não faz alterações no Centro de Identidade do IAM. Se necessário, você pode excluir manualmente as informações do Centro de Identidade do IAM armazenadas na conta de gerenciamento. Estas áreas, especificamente, permanecem inalteradas com a desativação:

Os usuários criados com a fábrica de contas não são removidos.
Os grupos criados pela configuração do AWS Control Tower não são removidos.
Os conjuntos de permissões criados pelo AWS Control Tower não são removidos.
As associações entre as contas da AWS e os conjuntos de permissões do Centro de Identidade do IAM não são removidas.
Os diretórios do Centro de Identidade do IAM não são alterados.
Essas políticas do Centro de Identidade do IAM para AWS Control Tower não são removidas:
- AWSControlTowerAdminPolicy
- AWSControlTowerCloudTrailRolePolicy
- AWSControlTowerStackSetRolePolicy

Perfis

Durante a configuração, o AWS Control Tower cria determinados perfis para você, caso use o console, ou solicita que você crie esses perfis se você configurar a zona de pouso por meio das APIs. Ao desativar a zona de pouso, os seguintes perfis não são removidos:

AWSControlTowerAdmin
AWSControlTowerCloudTrailRole
AWSControlTowerStackSetRole
AWSControlTowerConfigAggregatorRoleForOrganizations

Buckets do Amazon S3

Durante a configuração, o AWS Control Tower cria buckets na conta de registro em log para registro em log e acesso de registro em log. Ao desativar a zona de destino, os seguintes recursos não são removidos:

O registro em log e o acesso de registro dos buckets do S3 na conta de registro não são removidos.
O conteúdo dos buckets de acesso de registro e registro em log não é removido.

Contas compartilhadas

Duas contas compartilhadas (de auditoria e de arquivamento de logs) são criadas na UO de segurança durante a configuração do AWS Control Tower. Ao desativar a zona de destino:

As contas compartilhadas que foram criadas durante a configuração do AWS Control Tower não são encerradas.
A função do IAM OrganizationAccountAccessRole é recriada para alinhar-se à configuração padrão do AWS Organizations.
A função AWSControlTowerExecution é removida.

Contas provisionadas

Os clientes do AWS Control Tower podem usar a fábrica de contas para criar novas contas da AWS. Ao desativar a zona de destino:

As contas provisionadas criadas com a Fábrica de contas não são encerradas.
Os produtos provisionados no AWS Service Catalog não são removidos. Se você limpá-los encerrando-os, suas contas serão movidas para a UO raiz.
A VPC que o AWS Control Tower criou não é removida, e o conjunto de pilhas associado do AWS CloudFormation (BP_ACCOUNT_FACTORY_VPC) não é removido.
A função do IAM OrganizationAccountAccessRole é recriada para alinhar-se à configuração padrão do AWS Organizations.
A função AWSControlTowerExecution é removida.

Grupo de logs do CloudWatch Logs

Um grupo de logs do CloudWatch Logs, aws-controltower/CloudTrailLogs, é criado como parte do esquema chamado AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT. Esse grupo de logs não é removido. Em vez disso, o esquema é excluído e os recursos são mantidos.

Esse grupo de logs deve ser excluído manualmente antes da configuração de outra zona de destino.

nota

Os clientes na zona de pouso 3.0 e posterior não precisam excluir os logs do CloudTrail e os perfis de log do CloudTrail de suas contas individuais inscritas, pois eles são criados somente na conta de gerenciamento, para a trilha no nível da organização.

A partir da zona de pouso versão 3.2, o AWS Control Tower cria uma regra do Amazon EventBridge chamada AWSControlTowerManagedRule. Essa regra é criada em cada conta-membro, para todas as regiões administradas. A regra não é excluída automaticamente durante a desativação, então você deve excluí-la manualmente das contas compartilhadas e contas-membros de todas as regiões administradas antes de poder configurar uma zona de pouso em uma nova região.

Os procedimentos sobre como excluir recursos do AWS Control Tower são fornecidos em Remover recursos do AWS Control Tower.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Tarefas de limpeza manual necessárias após a desativação

Remover recursos do AWS Control Tower