在停用期间未删除的资源
停用登录区不会完全逆转 AWS Control Tower 设置过程。某些资源仍然存在,可以手动将其删除。
AWS Organizations
对于没有现有 AWS Organizations 组织的客户,AWS Control Tower 会设置一个具有两个组织单位(OU)的组织,分别名为安全和沙盒。当您停用登录区时,将保留组织的层次结构,如下所示:
-
不会删除您从 AWS Control Tower 控制台创建的组织单位(OU)。
-
不会删除安全 OU 和沙盒 OU。
-
不会从 AWS Organizations 中删除组织。
-
不会移动或删除 AWS Organizations 中的任何账户(安全、预置或管理)。
AWS IAM Identity Center (SSO)
对于尚且没有 IAM Identity Center 目录的客户,AWS Control Tower 会设置 IAM Identity Center 并配置初始目录。当您停用登录区时,AWS Control Tower 不会对 IAM Identity Center 进行任何更改。如果需要,您可以手动删除存储在管理账户中的 IAM Identity Center 信息。特别是,停用不会更改以下这些方面:
-
不会删除使用 Account Factory 创建的用户。
-
不会删除由 AWS Control Tower 安装程序创建的组。
-
不会删除由 AWS Control Tower 创建的权限集。
-
不会删除 AWS 账户和 IAM Identity Center 权限集之间的关联。
-
不会更改 IAM Identity Center 目录。
角色
在设置过程中,如果您使用控制台,AWS Control Tower 会为您创建某些角色;如果您通过 API 设置登录区,AWS Control Tower 会要求您创建这些角色。当您停用登录区时,不会删除以下角色:
-
AWSControlTowerAdmin
-
AWSControlTowerCloudTrailRole
-
AWSControlTowerStackSetRole
-
AWSControlTowerConfigAggregatorRoleForOrganizations
Amazon S3 存储桶
在设置过程中,AWS Control Tower 会在日志记录账户中创建存储桶,以进行日志记录和日志记录访问。当您停用登录区时,不会删除以下资源:
-
不会删除日志记录账户中的日志记录和日志记录访问 S3 存储桶。
-
不会删除日志记录和日志记录访问存储桶的内容。
共享账户
在 AWS Control Tower 设置期间,在安全 OU 中创建了两个共享账户(审计和日志存档)。当您停用登录区时:
-
不会关闭在 AWS Control Tower 设置过程中创建的共享账户。
-
重新创建
OrganizationAccountAccessRole
IAM 角色以与标准 AWS Organizations 配置保持一致。 -
删除
AWSControlTowerExecution
角色。
预置账户
AWS Control Tower 客户可以使用 Account Factory 创建新的 AWS 账户。当您停用登录区时:
-
不会关闭您使用 Account Factory 创建的预置账户。
-
不会删除 AWS Service Catalog 中的预置产品。如果您通过终止它们来进行清理,那么它们所属的账户将会移至根 OU。
-
不会删除 AWS Control Tower 创建的 VPC,以及关联的 AWS CloudFormation 堆栈集(
BP_ACCOUNT_FACTORY_VPC
)。 -
重新创建
OrganizationAccountAccessRole
IAM 角色以与标准 AWS Organizations 配置保持一致。 -
删除
AWSControlTowerExecution
角色。
CloudWatch Logs 日志组
将创建一个 CloudWatch Logs 日志组 aws-controltower/CloudTrailLogs
,作为名为 AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT
的蓝图的一部分。不会删除此日志组。相反,将删除蓝图并保留资源。
-
在设置其他登录区之前,必须手动删除此日志组。
注意
使用登录区 3.0 及更高版本的客户无需删除其个人注册账户的 CloudTrail 日志和 CloudTrail 日志角色,因为这些日志和角色仅在管理账户中为组织级别的跟踪而创建。
从登录区版本 3.2 开始,AWS Control Tower 创建了一条名为 AWSControlTowerManagedRule
的 Amazon EventBridge 规则。此规则是在所有受监管区域的每个成员账户中创建的。在停用期间,该规则不会自动删除,因此您必须先从所有受监管区域的共享账户和成员账户中手动将其删除,然后才能在新区域中设置登录区。
管理 AWS Control Tower 资源 中提供了有关如何删除 AWS Control Tower 资源的流程。