本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
退役过程概述
当您请求停用您的着陆区时,AWS Control Tower 会执行以下操作。
-
禁用 landing zone 中启用的每个侦探控件。AWS Control Tower 会删除支持该控件的 AWS CloudFormation 资源。
-
通过从中删除服务控制策略 (SCP) 来禁用每项预防性控制。 AWS Organizations如果策略为空(应该在移除 AWS Control Tower 管理的所有 SCP 之后该策略为空),则 AWS Control Tower 会分离并完全删除该策略。
-
删除所有部署为 AWS CloudFormation StackSets的蓝图。
-
删除所有区域中作为 CloudFormation 堆栈部署的所有蓝图。
-
对于每个已配置的账户,AWS Control Tower 会在停用过程中执行以下操作。
-
删除每个账户工厂账户的记录。
-
通过移除 AWS Control Tower 创建的 IAM 角色(除非已向其添加了其他策略)来撤销账户的 AWS Control Tower 权限,然后重新创建标准
OrganizationsFullAccessRole
IAM 角色。 -
从中删除该账户的记录 AWS Service Catalog。
-
从 AWS Service Catalog中删除账户工厂产品和产品组合。
-
-
删除共享(审计和日志存档)账户的蓝图。
-
通过移除 AWS Control Tower 创建的 IAM 角色(除非已向其添加了其他策略),撤消共享账户的 AWS Control Tower 权限,然后重新创建
OrganizationsFullAccessRole
IAM 角色。 -
删除与共享账户相关的记录。
-
删除与客户创建的 OU 相关的记录。
-
删除标识主区域的内部记录。
注意
停用后,如果您的 VPC 不为空,您可能希望删除账户工厂 VPC 蓝图 (BP_ACCOUNT_FACTORY_VPC
) 以清理路由和 NAT 网关。