停用过程概述
当您请求停用登录区时,AWS Control Tower 会执行以下操作。
-
禁用登录区中启用的每个侦测性控件。AWS Control Tower 会删除支持该控件的 CloudFormation 资源。
-
通过从 AWS Organizations 删除服务控制策略(SCP),禁用每个预防性控件。如果策略为空(在删除由 AWS Control Tower 管理的所有 SCP 之后应为空),则 AWS Control Tower 会分离并完全删除策略。
-
删除部署为 CloudFormation 堆栈集的所有蓝图。
-
跨所有区域删除部署为 CloudFormation 堆栈集的所有蓝图。
-
对于每个预置账户,AWS Control Tower 会在停用过程中执行以下操作。
-
删除每个 Account Factory 账户的记录。
-
通过删除 AWS Control Tower 已创建的 IAM 角色(除非已向其添加其他策略)撤销对账户的 AWS Control Tower 权限,然后重新创建标准
OrganizationsFullAccessRoleIAM 角色。 -
从 AWS Service Catalog 中删除账户的记录。
-
从 AWS Service Catalog 中删除 Account Factory 产品和产品组合。
-
-
删除共享(审计和日志存档)账户的蓝图。
-
通过删除 AWS Control Tower 已创建的 IAM 角色(除非已向其添加其他策略)从共享账户撤销 AWS Control Tower 权限,然后重新创建此
OrganizationsFullAccessRoleIAM 角色。 -
删除与共享账户相关的记录。
-
删除与客户创建的 OU 相关的记录。
-
删除标识主区域的内部记录。
注意
停用后,如果您的 VPC 不为空,您可能希望删除 Account Factory VPC 蓝图(BP_ACCOUNT_FACTORY_VPC)以清理路由和 NAT 网关。
