在停用期间未删除的资源 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在停用期间未删除的资源

停用登录区不会完全逆转 AWS Control Tower 设置过程。某些资源仍然存在,可以手动将其删除。

AWS Organizations

对于没有现有 AWS Organizations 组织的客户,AWS Control Tower 会建立一个由两个组织单位 (OUs) 组成的组织,分别命名为安全和沙盒。当您停用登录区时,将保留组织的层次结构,如下所示:

  • 您通过 AWS Control Tower 控制台创建的组织单位 (OUs) 不会被删除。

  • 安全性和沙盒未 OUs 被移除。

  • 该组织未从中删除 AWS Organizations。

  • 中的任何帐户 AWS Organizations (共享、已配置或管理)都不会被移动或删除。

AWS IAM Identity Center (SSO)

对于尚且没有 IAM Identity Center 目录的客户,AWS Control Tower 会设置 IAM Identity Center 并配置初始目录。当您停用登录区时,AWS Control Tower 不会对 IAM Identity Center 进行任何更改。如果需要,您可以手动删除存储在管理账户中的 IAM Identity Center 信息。特别是,停用不会更改以下这些方面:

  • 不会删除使用 Account Factory 创建的用户。

  • 不会删除由 AWS Control Tower 安装程序创建的组。

  • 不会删除由 AWS Control Tower 创建的权限集。

  • AWS 账户与 IAM Identity Center 权限集之间的关联不会被删除。

  • 不会更改 IAM Identity Center 目录。

  • 以下适用于 AWS Control Tower 的 IAM 身份中心策略未被删除:

    • AWSControlTowerAdminPolicy

    • AWSControlTowerCloudTrailRolePolicy

    • AWSControlTowerStackSetRolePolicy

角色

在设置过程中,如果您使用控制台,AWS Control Tower 会为您创建某些角色;如果您通过控制台设置着陆区,AWS Control Tower 会要求您创建这些角色 APIs。当您停用登录区时,不会删除以下角色:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Amazon S3 存储桶

在设置过程中,AWS Control Tower 会在日志记录账户中创建存储桶,以进行日志记录和日志记录访问。当您停用登录区时,不会删除以下资源:

  • 不会删除日志记录账户中的日志记录和日志记录访问 S3 存储桶。

  • 不会删除日志记录和日志记录访问存储桶的内容。

共享账户

在 AWS Control Tower 设置期间,在安全 OU 中创建了两个共享账户(审计和日志存档)。当您停用登录区时:

  • 不会关闭在 AWS Control Tower 设置过程中创建的共享账户。

  • 重新创建 OrganizationAccountAccessRole IAM 角色以符合标准 AWS Organizations 配置。

  • 删除 AWSControlTowerExecution 角色。

预置账户

AWS Control Tower 客户可以使用账户工厂来创建新 AWS 账户。当您停用登录区时:

  • 不会关闭您使用 Account Factory 创建的预置账户。

  • 中的预配置产品不会 AWS Service Catalog 被移除。如果您通过终止它们来进行清理,那么它们所属的账户将会移至根 OU

  • 不会删除 AWS Control Tower 创建的 VPC,以及关联的 AWS CloudFormation 堆栈集(BP_ACCOUNT_FACTORY_VPC)。

  • 重新创建 OrganizationAccountAccessRole IAM 角色以符合标准 AWS Organizations 配置。

  • 删除 AWSControlTowerExecution 角色。

CloudWatch 日志日志组

作为名为的蓝图的一部分aws-controltower/CloudTrailLogs,创建了一个 CloudWatch 日志日志组AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT。不会删除此日志组。相反,将删除蓝图并保留资源。

  • 在设置其他登录区之前,必须手动删除此日志组。

注意

landing zone 3.0 及更高版本的客户无需删除其个人注册账户的 CloudTrail CloudTrail 日志和日志角色,因为这些角色仅在管理账户中为组织级别的跟踪创建。

从着陆区版本 3.2 开始,AWS Control Tower 创建了一条名为的亚马逊 EventBridge 规则AWSControlTowerManagedRule。此规则是在所有受监管区域的每个成员账户中创建的。在停用期间,该规则不会自动删除,因此您必须先从所有受监管区域的共享账户和成员账户中手动将其删除,然后才能在新区域中设置登录区。

移除 AWS Control Tower 资源 中提供了有关如何删除 AWS Control Tower 资源的流程。