本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
停用过程概述
当您请求停用着陆区时,Cont AWS rol Tower 会执行以下操作。
-
禁用 landing zone 中启用的每个侦探控件。 AWSControl Tower 会删除支持该控件的 AWS CloudFormation 资源。
-
通过从 AWS Organizations中删除服务控制策略 (SCPs) 来禁用每项预防性控制。如果策略为空(应该在移除所有由 Cont AWS rol Tower SCPs 管理的策略之后才是空的),则 Cont AWS rol Tower 会分离并完全删除该策略。
-
删除所有部署为 AWS CloudFormation StackSets的蓝图。
-
删除所有区域中作为 CloudFormation 堆栈部署的所有蓝图。
-
对于每个已配置的账户,Cont AWS rol Tower 会在停用过程中执行以下操作。
-
删除每个 Account Factory 账户的记录。
-
通过移除 Cont AWS rol Tower 创建的IAM角色来撤消账户的 Cont AWS rol Tower 权限(除非已向其添加了其他策略),然后重新创建标准
OrganizationsFullAccessRoleIAM角色。 -
从中删除该账户的记录 AWS Service Catalog。
-
从 AWS Service Catalog中删除 Account Factory 产品和产品组合。
-
-
删除共享(审计和日志存档)账户的蓝图。
-
通过移除 Cont AWS rol Tower 创建的IAM角色来撤消共享账户的 Cont AWS rol Tower 权限(除非已向其添加了其他策略),然后重新创建该
OrganizationsFullAccessRoleIAM角色。 -
删除与共享账户相关的记录。
-
删除与客户创建OUs的相关记录。
-
删除标识主区域的内部记录。
注意
停用后,如果您的VPC蓝图不为空,则可能需要删除 Account Factory VPC 蓝图 (BP_ACCOUNT_FACTORY_VPC) 以清理路由和NAT网关。
