Información general del proceso de retirada - AWS Control Tower

Información general del proceso de retirada

Cuando solicita la retirada de la zona de aterrizaje, AWS Control Tower realiza las siguientes acciones.

  • Desactiva todos los controles de detección habilitados en la zona de aterrizaje. AWS Control Tower elimina los recursos de AWS CloudFormation que respaldan el control.

  • Deshabilita cada control preventivo eliminando las políticas de control de servicios (SCP) de AWS Organizations. Si una política está vacía (lo que debería después de eliminar todas las SCP administradas por AWS Control Tower), AWS Control Tower desconecta y elimina la política por completo.

  • Elimina todos los esquemas implementados como AWS CloudFormation StackSets.

  • Elimina todos los proyectos implementados como pilas de CloudFormation en todas las regiones.

  • Para cada cuenta aprovisionada, AWS Control Tower realiza las siguientes acciones durante el proceso de retirada.

    • Elimina los registros de cada cuenta de Account Factory.

    • Revoca los permisos de AWS Control Tower de la cuenta eliminando el rol de IAM que creó AWS Control Tower (a menos que se le hayan añadido políticas adicionales) y vuelve a crear el rol de IAM OrganizationsFullAccessRole estándar.

    • Elimina los registros de la cuenta de AWS Service Catalog.

    • Elimina el producto de Account Factory y la cartera de AWS Service Catalog.

  • Elimina los esquemas de las cuentas compartidas (auditoría y archivo de registros).

  • Revoca los permisos de AWS Control Tower de las cuentas compartidas eliminando el rol de IAM que creó AWS Control Tower (a menos que se hayan agregado políticas adicionales) y vuelve a crear el rol de IAM OrganizationsFullAccessRole.

  • Elimina los registros relacionados con las cuentas compartidas.

  • Elimina los registros relacionados con las unidades organizativas creadas por el cliente.

  • Elimina los registros internos que identifican la región de origen.

nota

Después de la retirada, es posible que desee quitar el proyecto de la VPC de Account Factory (BP_ACCOUNT_FACTORY_VPC) para limpiar las rutas y las gateways NAT, si la VPC no estaba vacía.