廃止プロセスの概要
ランディングゾーンの廃止をリクエストすると、AWS Control Tower は次のアクションを実行します。
-
ランディングゾーンで有効になっている各検出コントロールを無効にします。AWS Control Tower は、コントロールをサポートする AWS CloudFormation リソースを削除します。
-
AWS Organizations からサービスコントロールポリシー (SCP) を削除して、各予防コントロールを無効にします。ポリシーが空欄の場合 (AWS Control Tower が管理するすべての SPC の削除後に空欄になる)、AWS Control Tower は、ポリシーを完全にデタッチし、削除します。
-
AWS CloudFormation StackSet としてデプロイされたすべてのブループリントを削除します。
-
CloudFormation スタックとしてデプロイされたすべてのリージョンのすべてのブループリントを削除します。
-
プロビジョニングされたアカウントごとに、AWS Control Tower は、廃止プロセス中に以下のアクションを実行します。
-
各 Account Factory アカウントのレコードを削除します。
-
AWS Control Tower が作成した IAM ロールを削除し、アカウントへの AWS Control Tower アクセス許可を取り消し (追加のポリシーが追加されていない限り)、標準の
OrganizationsFullAccessRole
IAM ロールを再作成します。 -
AWS Service Catalog からアカウントのレコードを削除します。
-
Account Factory 製品およびポートフォリオを AWS Service Catalog から削除します。
-
-
共有 (監査およびログアーカイブ) アカウントのブループリントを削除します。
-
AWS Control Tower が作成した IAM ロールを削除して、共有アカウントから AWS Control Tower アクセス許可を取り消し (追加のポリシーが追加されていない限り)、
OrganizationsFullAccessRole
IAM ロールを再作成します。 -
共有アカウントに関連するレコードを削除します。
-
ユーザー作成の OU に関連するレコードを削除します。
-
ホームリージョンを識別する内部レコードを削除します。
注記
廃止後、VPC が空でない場合は、Account Factory VPC ブループリント (BP_ACCOUNT_FACTORY_VPC
) を削除して、ルートと NAT ゲートウェイをクリーンアップすることもできます。