Ressourcen, die bei der Außerbetriebnahme nicht entfernt wurden - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ressourcen, die bei der Außerbetriebnahme nicht entfernt wurden

Durch die Außerbetriebnahme einer landing zone wird der Einrichtungsprozess von AWS Control Tower nicht vollständig rückgängig gemacht. Bestimmte Ressourcen bleiben erhalten, die manuell entfernt werden können.

AWS Organizations

Für Kunden ohne bestehende AWS Organizations Organisationen richtet AWS Control Tower eine Organisation mit zwei Organisationseinheiten (OUs) mit den Namen Security und Sandbox ein. Beim Bereitstellen Ihrer Landing Zone wird die Hierarchie der Organisation wie folgt beibehalten:

  • Organisationseinheiten (OUs), die Sie über die AWS Control Tower Tower-Konsole erstellt haben, werden nicht entfernt.

  • Die Sicherheits- und Sandbox-Organisationseinheiten werden nicht entfernt.

  • Die Organisation wurde nicht aus AWS Organizations gelöscht.

  • Es werden keine Konten in AWS Organizations (gemeinsam genutzt, bereitgestellt oder verwaltet) verschoben oder entfernt.

AWS IAM Identity Center (SSO)

Für Kunden ohne vorhandenes IAM Identity Center-Verzeichnis richtet AWS Control Tower das IAM Identity Center ein und konfiguriert ein erstes Verzeichnis. Wenn Sie Ihre landing zone außer Betrieb nehmen, nimmt AWS Control Tower keine Änderungen am IAM Identity Center vor. Bei Bedarf können Sie die in Ihrem Verwaltungskonto gespeicherten IAM Identity Center-Informationen manuell löschen. Durch die Außerbetriebnahme bleiben insbesondere diese Bereiche unverändert:

  • Benutzer, die mit Account Factory angelegt wurden, werden nicht entfernt.

  • Gruppen, die durch das AWS Control Tower Tower-Setup erstellt wurden, werden nicht entfernt.

  • Von AWS Control Tower erstellte Berechtigungssätze werden nicht entfernt.

  • Verknüpfungen zwischen AWS-Konten und IAM Identity Center-Berechtigungssätzen werden nicht entfernt.

  • Die IAM Identity Center-Verzeichnisse werden nicht geändert.

Rollen

Während der Einrichtung erstellt AWS Control Tower bestimmte Rollen für Sie, wenn Sie die Konsole verwenden, oder er fordert Sie auf, diese Rollen zu erstellen, wenn Sie Ihre landing zone über die APIs einrichten. Wenn Sie Ihre landing zone außer Betrieb nehmen, werden die folgenden Rollen nicht entfernt:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Amazon-S3-Buckets

Während der Einrichtung erstellt AWS Control Tower Buckets im Logging-Konto für die Protokollierung und für die Protokollierung des Zugriffs. Bei der Außerbetriebnahme Ihrer Landing Zone werden die folgenden Ressourcen nicht entfernt:

  • S3-Buckets für die Protokollierung und die Protokollierung von Zugriffen im Protokollierungskonto werden nicht entfernt.

  • Inhalte der Buckets für die Protokollierung und die Protokollierung von Zugriffen werden nicht entfernt.

Geteilte Konten

Zwei gemeinsame Konten (Audit und Log Archive) werden während der Einrichtung von AWS Control Tower in der Security OU erstellt. Dies geschieht, wenn Sie Ihre Landing Zone außer Betrieb nehmen:

  • Gemeinsame Konten, die während der Einrichtung von AWS Control Tower erstellt wurden, werden nicht geschlossen.

  • Die OrganizationAccountAccessRole IAM-Rolle wird neu erstellt, um sie an die AWS Organizations Standardkonfiguration anzupassen.

  • Die AWSControlTowerExecution-Rolle wird entfernt.

Bereitgestellte Konten

AWS Control Tower Tower-Kunden können Account Factory verwenden, um neue AWS-Konten zu erstellen. Dies geschieht, wenn Sie Ihre Landing Zone außer Betrieb nehmen:

  • Bereitgestellte Konten, die Sie mit Account Factory erstellt haben, werden nicht geschlossen.

  • Bereitgestellte Produkte AWS Service Catalog werden nicht entfernt. Wenn Sie diese löschen, indem Sie sie kündigen, werden ihre Konten in die Root-Organisationseinheit verschoben.

  • Die von AWS Control Tower erstellte VPC wird nicht entfernt, und das zugehörige AWS CloudFormation Stack-Set (BP_ACCOUNT_FACTORY_VPC) wird nicht entfernt.

  • Die OrganizationAccountAccessRole IAM-Rolle wird neu erstellt, um sie an die Standardkonfiguration anzupassen. AWS Organizations

  • Die AWSControlTowerExecution-Rolle wird entfernt.

CloudWatch Logs Protokollgruppe

Eine CloudWatch Logs-Protokollgruppeaws-controltower/CloudTrailLogs,, wird als Teil des genannten AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT Blueprints erstellt. Diese Protokollgruppe wird nicht entfernt. Stattdessen wird die Vorlage gelöscht und die Ressourcen bleiben erhalten.

  • Diese Protokollgruppe muss manuell gelöscht werden, bevor Sie eine andere Landing Zone einrichten.

Anmerkung

Kunden mit landing zone 3.0 und höher müssen die CloudTrail Logs und CloudTrail Log-Rollen ihres individuellen registrierten Accounts nicht löschen, da diese nur im Verwaltungskonto für den Trail auf Organisationsebene erstellt werden.

Ab landing zone Version 3.2 erstellt AWS Control Tower eine EventBridge Amazon-Regel namensAWSControlTowerManagedRule. Diese Regel wird in jedem Mitgliedskonto für alle regulierten Regionen erstellt. Die Regel wird bei der Außerbetriebnahme nicht automatisch gelöscht. Sie müssen sie daher manuell aus den gemeinsamen Konten und Mitgliedskonten aller verwalteten Regionen löschen, bevor Sie eine landing zone in einer neuen Region einrichten können.

Verfahren zum Löschen von AWS Control Tower Tower-Ressourcen finden Sie unterVerwalten von AWS Control Tower-Ressourcen.