在停用期间未删除的资源 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在停用期间未删除的资源

停用登录区不会完全逆转 AWS Control Tower 设置过程。某些资源仍然存在,可以手动将其删除。

AWS Organizations

对于没有现有 AWS Organizations 组织的客户,AWS Control Tower 会建立一个包含一个或多个组织单位 (OUs) 的组织。指定的安全 OU 和可选创建的沙盒 OU。当您停用登录区时,将保留组织的层次结构,如下所示:

  • 您通过 AWS Control Tower 控制台创建的组织单位 (OUs) 不会被删除。

  • 安全性和沙盒未 OUs 被移除。

  • 该组织未从中删除 AWS Organizations。

  • 中的任何帐户 AWS Organizations (共享、已配置或管理)都不会被移动或删除。

AWS IAM Identity Center (SSO)

对于尚且没有 IAM Identity Center 目录的客户,AWS Control Tower 会设置 IAM Identity Center 并配置初始目录。当您停用登录区时,AWS Control Tower 不会对 IAM Identity Center 进行任何更改。如果需要,您可以手动删除存储在管理账户中的 IAM Identity Center 信息。特别是,停用不会更改以下这些方面:

  • 不会删除使用 Account Factory 创建的用户。

  • 不会删除由 AWS Control Tower 安装程序创建的组。

  • 不会删除由 AWS Control Tower 创建的权限集。

  • AWS 账户与 IAM Identity Center 权限集之间的关联不会被删除。

  • 不会更改 IAM Identity Center 目录。

  • 不会删除以下适用于 AWS Control Tower 的 IAM Identity Center 策略:

    • AWSControlTowerAdminPolicy

    • AWSControlTowerCloudTrailRolePolicy

    • AWSControlTowerStackSetRolePolicy

角色

在设置过程中,如果您使用控制台,AWS Control Tower 会为您创建某些角色;如果您通过控制台设置着陆区,AWS Control Tower 会要求您创建这些角色 APIs。当您停用登录区时,不会删除以下角色:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

注意

无论是 AWS Control Tower 代表您创建AWSControlTowerExecution角色还是您手动创建了该角色,着陆区被删除后,成员账户中的角色都将被删除。但是,如果您为该角色附加了其他策略,或者修改了附加到该角色的策略,AWS Control Tower 可能无法在着陆区域删除期间删除此角色。在这种情况下,将成功删除着陆区,但角色将保留在您的成员账户中。

Amazon S3 存储桶

在设置过程中,AWS Control Tower 在 AWS 的日志存档账户 CloudTrail 和用于集成 AWS Config 的配置中央聚合器账户中创建存储桶。AWS Control Tower 在每个账户中创建用于记录和登录访问的存储桶。当您停用登录区时,不会删除以下资源:

  • 不会删除日志存档账户中的日志记录和日志访问权限 S3 存储桶。

  • 不会删除配置中心聚合器账户中的日志记录和日志访问权限 S3 存储桶。

  • 这些账户中每个账户中的日志和日志访问存储桶的内容都不会被删除。

服务集成账户

AWS Control Tower 要求每个服务集成配置都有一个中央账户。此账户可能是在基于着陆区版本的 AWS Control Tower 设置期间创建的,也可能不会创建。当您停用登录区时:

  • 在 AWS Control Tower 设置期间创建的服务集成账户不会关闭。

  • 重新创建 OrganizationAccountAccessRole IAM 角色以符合标准 AWS Organizations 配置。

  • 删除 AWSControlTowerExecution 角色。

预置账户

AWS Control Tower 客户可以使用账户工厂来创建新 AWS 账户。当您停用登录区时:

  • 不会关闭您使用 Account Factory 创建的预置账户。

  • 中的预配置产品不会 AWS Service Catalog 被移除。如果您通过终止它们来进行清理,那么它们所属的账户将会移至根 OU

  • 不会删除 AWS Control Tower 创建的 VPC,以及关联的 AWS CloudFormation 堆栈集(BP_ACCOUNT_FACTORY_VPC)。

  • 重新创建 OrganizationAccountAccessRole IAM 角色以符合标准 AWS Organizations 配置。

  • 删除 AWSControlTowerExecution 角色。

CloudWatch 日志日志组

  • 作为名为的蓝图的一部分aws-controltower/CloudTrailLogs,创建了一个 CloudWatch 日志日志组AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER。不会删除此日志组。相反,将删除蓝图并保留资源。

注意

landing zone 3.0 及更高版本的客户无需删除其个人注册账户的 CloudTrail CloudTrail 日志和日志角色,因为这些角色仅在管理账户中为组织级别的跟踪创建。

从着陆区版本 3.2 开始,AWS Control Tower 创建了一条名为的亚马逊 EventBridge 规则AWSControlTowerManagedRule。此规则是在所有受监管区域的每个成员账户中创建的。在停用期间,该规则不会自动删除,因此您必须先从所有受管辖区域的服务集成账户和成员账户中手动将其删除,然后才能在新区域中设置着陆区。

删除 AWS Control Tower 资源 中提供了有关如何删除 AWS Control Tower 资源的流程。