폐기 중에 제거되지 않는 리소스 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

폐기 중에 제거되지 않는 리소스

랜딩 존을 폐기해도 AWS Control Tower 설정 프로세스가 완전히 반전되지는 않습니다. 특정 리소스는 남아 있으며 수동으로 제거할 수 있습니다.

AWS Organizations

기존 AWS Organizations 조직이 없는 고객의 경우 AWS Control Tower는 SecuritySandbox라는 두 개의 조직 단위(OUs)로 조직을 설정합니다. 랜딩 존을 폐기하는 경우 다음과 같이 조직의 계층이 유지됩니다.

  • AWS Control Tower 콘솔에서 만든 조직 단위(OU)는 제거되지 않습니다.

  • 보안 및 샌드박스 OU는 제거되지 않습니다.

  • 조직은에서 삭제되지 않습니다 AWS Organizations.

  • 의 계정 AWS Organizations (공유, 프로비저닝 또는 관리)은 이동되거나 제거되지 않습니다.

AWS IAM Identity Center (SSO)

기존 IAM Identity Center 디렉터리가 없는 고객의 경우 AWS Control Tower는 IAM Identity Center를 설정하고 초기 디렉터리를 구성합니다. 랜딩 존을 폐기하면 AWS Control Tower는 IAM Identity Center를 변경하지 않습니다. 필요한 경우 관리 계정에 저장된 IAM Identity Center 정보를 수동으로 삭제할 수 있습니다. 특히 다음 영역은 폐기를 통해 변경되지 않습니다.

  • Account Factory로 생성한 사용자는 제거되지 않습니다.

  • AWS Control Tower 설정 중에 생성된 그룹은 제거되지 않습니다.

  • AWS Control Tower에서 생성한 권한 세트는 제거되지 않습니다.

  • AWS 계정과 IAM Identity Center 권한 세트 간의 연결은 제거되지 않습니다.

  • IAM Identity Center 디렉터리는 변경되지 않습니다.

  • AWS Control Tower에 대한 이러한 IAM Identity Center 정책은 제거되지 않습니다.

    • AWSControlTowerAdminPolicy

    • AWSControlTowerCloudTrailRolePolicy

    • AWSControlTowerStackSetRolePolicy

Roles

설정 중에 AWS Control Tower는 콘솔을 사용하는 경우 특정 역할을 자동으로 생성하거나 API를 통해 랜딩 존을 설정하는 경우 이러한 역할을 만들도록 요청합니다. 랜딩 존을 폐기할 때 다음 역할은 제거되지 않습니다.

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Amazon S3 버킷

설정 중에 AWS Control Tower는 로깅 및 액세스 로깅을 위한 버킷을 로깅 계정에 생성합니다. 랜딩 존을 폐기할 때 다음 리소스는 제거되지 않습니다.

  • 로깅 계정의 로깅 및 로깅 액세스 S3 버킷은 제거되지 않습니다.

  • 로깅 및 로깅 액세스 버킷의 내용은 제거되지 않습니다.

공유 계정

AWS Control Tower 설정 중에 보안 OU에 2개의 공유 계정(감사 및 로그 아카이브)이 생성됩니다. 랜딩 존을 폐기하는 경우 다음과 같은 결과가 발생합니다.

  • AWS Control Tower 설정 중에 생성된 공유 계정은 해지되지 않습니다.

  • OrganizationAccountAccessRole IAM 역할은 표준 AWS Organizations 구성에 맞게 다시 생성됩니다.

  • AWSControlTowerExecution 역할은 제거됩니다.

프로비저닝된 계정

AWS Control Tower 고객은 계정 팩토리를 사용하여 새 AWS 계정을 생성할 수 있습니다. 랜딩 존을 폐기하는 경우 다음과 같은 결과가 발생합니다.

  • Account Factory로 생성한 프로비저닝된 계정은 해지되지 않습니다.

  • 에서 프로비저닝된 제품은 제거 AWS Service Catalog 되지 않습니다. 이를 종료하여 정리하면 해당 계정이 루트 OU로 이동합니다.

  • AWS Control Tower가 생성한 VPC는 제거되지 않으며, 연결된 AWS CloudFormation 스택 세트(BP_ACCOUNT_FACTORY_VPC)도 제거되지 않습니다.

  • OrganizationAccountAccessRole IAM 역할은 표준 AWS Organizations 구성에 맞게 다시 생성됩니다.

  • AWSControlTowerExecution 역할은 제거됩니다.

CloudWatch Logs 로그 그룹

CloudWatch Logs 로그 그룹 aws-controltower/CloudTrailLogsAWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT라는 블루프린트의 일부로 생성됩니다. 이 로그 그룹은 제거되지 않습니다. 대신 청사진이 삭제되며 리소스는 유지됩니다.

  • 다른 랜딩 존을 설정하기 전에 이 로그 그룹을 수동으로 삭제해야 합니다.

참고

랜딩 존 3.0 이상을 사용하는 고객은 개별 등록 계정의 CloudTrail 로그 및 CloudTrail 로그 역할을 삭제할 필요가 없습니다. 이러한 로그와 역할은 조직 수준 추적을 위해 관리 계정에서만 생성되기 때문입니다.

랜딩 존 버전 3.2부터 AWS Control Tower는 AWSControlTowerManagedRule이라는 Amazon EventBridge 규칙을 생성합니다. 이 규칙은 모든 관리 리전에 대해 각 멤버 계정에 생성됩니다. 폐기 중에는 규칙이 자동으로 삭제되지 않으므로, 새 리전에 랜딩 존을 설정하기 전에 모든 관리 리전의 공유 및 멤버 계정에서 규칙을 수동으로 삭제해야 합니다.

AWS Control Tower 리소스를 삭제하는 방법에 대한 절차는 AWS Control Tower 리소스 제거에 나와 있습니다.