Risorse non rimosse durante la disattivazione - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risorse non rimosse durante la disattivazione

La disattivazione di una landing zone non inverte completamente il processo di configurazione di AWS Control Tower. Restano alcune risorse, che possono essere rimosse manualmente.

AWS Organizations

Per i clienti senza AWS Organizations organizzazioni esistenti, AWS Control Tower configura un'organizzazione con due unità organizzative (OU), denominate Security e Sandbox. Quando si disattiva la landing zone, la gerarchia dell'organizzazione viene mantenuta, come segue:

  • Le unità organizzative (OU) create dalla console AWS Control Tower non vengono rimosse.

  • Le unità organizzative Security e Sandbox non vengono rimosse.

  • L'organizzazione non viene eliminata da AWS Organizations.

  • Nessun account AWS Organizations (condiviso, assegnato o di gestione) viene spostato o rimosso.

AWS IAM Identity Center (SSO)

Per i clienti che non dispongono di una directory IAM Identity Center esistente, AWS Control Tower configura IAM Identity Center e configura una directory iniziale. Quando disattivi la landing zone, AWS Control Tower non apporta modifiche a IAM Identity Center. Se necessario, puoi eliminare manualmente le informazioni dell'IAM Identity Center memorizzate nel tuo account di gestione. In particolare, queste aree sono invariate dalla disattivazione:

  • Gli utenti creati con Account Factory non vengono rimossi.

  • I gruppi creati dalla configurazione di AWS Control Tower non vengono rimossi.

  • I set di autorizzazioni creati da AWS Control Tower non vengono rimossi.

  • Le associazioni tra account AWS e set di autorizzazioni IAM Identity Center non vengono rimosse.

  • Le directory di IAM Identity Center non vengono modificate.

Roles

Durante la configurazione, AWS Control Tower crea determinati ruoli per te se usi la console o ti chiede di creare questi ruoli se configuri la landing zone tramite le API. Quando disattivate la vostra landing zone, i seguenti ruoli non vengono rimossi:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Bucket Amazon S3

Durante la configurazione, AWS Control Tower crea bucket nell'account di registrazione per la registrazione e per l'accesso alla registrazione. Quando si disattiva la landing zone, le seguenti risorse non vengono rimosse:

  • I bucket S3 della registrazione e di accesso alla registrazione nell'account di registrazione non vengono rimossi.

  • I contenuti dei bucket di accesso alla registrazione e alla registrazione non vengono rimossi.

Account condivisi

Due account condivisi (Audit e Log Archive) vengono creati nell'unità organizzativa di sicurezza durante la configurazione di AWS Control Tower. Quando si disattiva la landing zone:

  • Gli account condivisi creati durante la configurazione di AWS Control Tower non vengono chiusi.

  • Il ruolo OrganizationAccountAccessRole IAM viene ricreato per allinearlo alla configurazione standard AWS Organizations .

  • Il ruolo AWSControlTowerExecution viene rimosso.

Account di cui è stato eseguito il provisioning

I clienti AWS Control Tower possono utilizzare account factory per creare nuovi account AWS. Quando si disattiva la landing zone:

  • Gli account di provisioning creati con account factory non vengono chiusi.

  • I prodotti forniti non AWS Service Catalog vengono rimossi. Se li ripulisci chiudendoli, i relativi account vengono spostati nell'unità organizzativa principale.

  • Il VPC creato da AWS Control Tower non viene rimosso e lo AWS CloudFormation stack set associato (BP_ACCOUNT_FACTORY_VPC) non viene rimosso.

  • Il ruolo OrganizationAccountAccessRole IAM viene ricreato per allinearlo alla configurazione standard. AWS Organizations

  • Il ruolo AWSControlTowerExecution viene rimosso.

CloudWatch Registri (Log Group)

Un gruppo di CloudWatch log dei registri,aws-controltower/CloudTrailLogs, viene creato come parte del blueprint denominato. AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT Questo gruppo di log non viene rimosso. Al contrario, il blueprint viene eliminato e le risorse vengono mantenute.

  • Questo gruppo di log deve essere eliminato manualmente prima di impostare un'altra landing zone.

Nota

I clienti della landing zone 3.0 e versioni successive non devono eliminare i CloudTrail CloudTrail registri e i ruoli di registro dei singoli account registrati, poiché questi vengono creati solo nell'account di gestione, per il percorso a livello di organizzazione.

A partire dalla versione 3.2 della landing zone, AWS Control Tower crea una EventBridge regola Amazon, chiamataAWSControlTowerManagedRule. Questa regola viene creata in ogni account membro, per tutte le regioni governate. La regola non viene eliminata automaticamente durante la disattivazione, quindi è necessario eliminarla manualmente dagli account condivisi e dai membri di tutte le Regioni governate prima di poter configurare una landing zone in una nuova regione.

Le procedure per eliminare le risorse di AWS Control Tower sono riportate inGestisci le risorse di AWS Control Tower.