Recursos no eliminados durante la retirada

La retirada de una zona de aterrizaje no revierte por completo el proceso de configuración de AWS Control Tower. Quedan algunos recursos, que pueden eliminarse manualmente.

AWS Organizations

Para clientes sin organizaciones de AWS Organizations existentes, AWS Control Tower configura una organización con dos unidades organizativas (OU), denominadas seguridad y entorno de pruebas. Cuando se retira la zona de inicio, se mantiene la jerarquía de la organización, de la siguiente manera:

Las OU creadas desde la consola de AWS Control Tower no se eliminan.
Las OU de seguridad y entorno de pruebas no se eliminan.
La organización no se elimina de AWS Organizations.
No se mueve ni elimina ninguna cuenta de AWS Organizations (compartida, aprovisionada o de administración).

AWS IAM Identity Center (SSO)

Para los clientes que no disponen de un directorio de IAM Identity Center, AWS Control Tower establece IAM Identity Center y configura un directorio inicial. Al retirar la zona de aterrizaje, AWS Control Tower no realiza cambios en IAM Identity Center. Si es necesario, puede eliminar la información de IAM Identity Center almacenada en la cuenta de administración manualmente. En particular, estas zonas no se modifican mediante la retirada:

Los usuarios creados con Account Factory no se quitan.
Los grupos creados por la configuración de AWS Control Tower no se eliminan.
Los conjuntos de permisos creados por AWS Control Tower no se eliminan.
Las asociaciones entre cuentas de AWS y conjuntos de permisos de IAM Identity Center no se eliminan.
Los directorios de IAM Identity Center no se modifican.

Roles

Durante la configuración, AWS Control Tower le crea determinados roles si utiliza la consola, o le pide que los cree si configura la zona de aterrizaje a través de las API. Al retirar la zona de aterrizaje, no se eliminan los siguientes roles:

AWSControlTowerAdmin
AWSControlTowerCloudTrailRole
AWSControlTowerStackSetRole
AWSControlTowerConfigAggregatorRoleForOrganizations

Buckets de Amazon S3

Durante la configuración, AWS Control Tower crea buckets en la cuenta de registro para el registro y para el acceso de registro. Al retirar la zona de inicio, no se quitan los siguientes recursos:

No se quitan los buckets de S3 de registro y acceso de registro en la cuenta de registro.
El contenido de los buckets de acceso de registro y registro no se elimina.

Cuentas compartidas

Durante la configuración de AWS Control Tower se crean dos cuentas compartidas (auditoría y archivo de registro) en la OU de seguridad. Al retirar la zona de inicio:

Las cuentas compartidas que se crearon durante la configuración de AWS Control Tower no se cierran.
El rol de IAM OrganizationAccountAccessRole se vuelve a crear para alinearse con la configuración de AWS Organizations estándar.
Se quita el rol de AWSControlTowerExecution.

Cuentas aprovisionadas

Los clientes de AWS Control Tower pueden utilizar el generador de cuentas para crear nuevas cuentas de AWS. Al retirar la zona de inicio:

Las cuentas aprovisionadas que creó con Account Factory no están cerradas.
Los productos aprovisionados en AWS Service Catalog no se eliminan. Si los elimina finalizándolos, las cuentas se trasladarán a la OU raíz.
No se elimina la VPC que creó AWS Control Tower ni el conjunto de pilas de AWS CloudFormation asociado (BP_ACCOUNT_FACTORY_VPC).
El rol de IAM OrganizationAccountAccessRole se vuelve a crear para alinearse con la configuración de AWS Organizations estándar.
Se quita el rol de AWSControlTowerExecution.

Grupo de registro de CloudWatch Logs

Se crea un grupo de registro de CloudWatch Logs, aws-controltower/CloudTrailLogs, como parte del esquema denominado AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT. Este grupo de registro no se quita. En su lugar, se elimina el proyecto y se conservan los recursos.

Este grupo de registro debe eliminarse manualmente antes de configurar otra zona de inicio.

nota

Los clientes de la zona de aterrizaje 3.0 y posteriores no necesitan eliminar los registros de CloudTrail ni los roles de registros de CloudTrail de las cuentas individuales inscritas, ya que estos se crean únicamente en la cuenta de administración para el registro de seguimiento por organización.

A partir de la versión 3.2 de la zona de aterrizaje, AWS Control Tower crea una regla de Amazon EventBridge denominada AWSControlTowerManagedRule. Esta regla se crea en cada cuenta de miembro, por cada región gobernada. La regla no se elimina automáticamente durante la retirada, por lo que debe eliminarla manualmente de las cuentas compartidas y de miembro de todas las regiones regidas antes de poder configurar una zona de aterrizaje en una nueva región.

Los procedimientos para eliminar los recursos de AWS Control Tower se detallan en Administración de los recursos de AWS Control Tower.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Información general del proceso de retirada

Administración de los recursos de AWS Control Tower