Descripción general del proceso de desmantelamiento - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción general del proceso de desmantelamiento

Cuando solicita el desmantelamiento de su landing zone, AWS Control Tower realiza las siguientes acciones.

  • Desactiva todos los controles de detección activados en la landing zone. AWS Control Tower elimina los AWS CloudFormation recursos que respaldan el control.

  • Desactiva cada control preventivo al eliminar las políticas de control de servicios (SCP). AWS Organizations Si una política está vacía (lo que debería ocurrir después de eliminar todos los SCP gestionados por AWS Control Tower), AWS Control Tower desconecta y elimina la política por completo.

  • Elimina todos los planos implementados como. AWS CloudFormation StackSets

  • Elimina todos los planos desplegados como CloudFormation pilas en todas las regiones.

  • Para cada cuenta aprovisionada, AWS Control Tower realiza las siguientes acciones durante el proceso de desmantelamiento.

    • Elimina los registros de cada cuenta de Account Factory.

    • Revoca los permisos de AWS Control Tower para la cuenta eliminando el rol de IAM que creó AWS Control Tower (a menos que se le hayan agregado políticas adicionales) y vuelve a crear el rol de IAM estándarOrganizationsFullAccessRole.

    • Elimina los registros de la cuenta de. AWS Service Catalog

    • Elimina el producto de Account Factory y la cartera de AWS Service Catalog.

  • Elimina los planos de las cuentas compartidas (archivo de auditoría y registro).

  • Revoca los permisos de la Torre de Control de AWS de las cuentas compartidas eliminando la función de IAM que creó la Torre de Control de AWS (a menos que se le hayan agregado políticas adicionales) y vuelve a crear la OrganizationsFullAccessRole función de IAM.

  • Elimina los registros relacionados con las cuentas compartidas.

  • Elimina los registros relacionados con las unidades organizativas creadas por el cliente.

  • Elimina los registros internos que identifican la región de origen.

nota

Después de la retirada, es posible que desee quitar el proyecto de la VPC de Account Factory (BP_ACCOUNT_FACTORY_VPC) para limpiar las rutas y las gateways NAT, si la VPC no estaba vacía.