停用程序概觀 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

停用程序概觀

當您請求解除委任登陸區域時,AWS Control Tower 會執行下列動作。

  • 停用登陸區域中啟用的每個偵測控制。AWS Control Tower 會刪除支援控制項 AWS CloudFormation 的資源。

  • 從中移除服務控制政策 SCPs) 來停用每個預防性控制 AWS Organizations。如果政策是空的 (應該是在移除 AWS Control Tower 管理的所有 SCPs 之後),AWS Control Tower 會分離並完全刪除政策。

  • 刪除所有部署為 AWS CloudFormation StackSets 的藍圖。

  • 刪除所有區域中部署為 CloudFormation 堆疊的所有藍圖。

  • 對於每個佈建帳戶,AWS Control Tower 會在停用程序期間執行下列動作。

    • 刪除每個帳戶團隊帳戶的記錄。

    • 透過移除 AWS Control Tower 建立的 IAM 角色 (除非已新增其他政策),將 AWS Control Tower 許可撤銷至帳戶,並重新建立標準 IAM OrganizationsFullAccessRole 角色。

    • 從中移除 帳戶的記錄 AWS Service Catalog。

    • 從 AWS Service Catalog中移除帳戶團隊產品和產品組合。

  • 刪除共用 (稽核和日誌封存) 帳戶的藍圖。

  • 移除 AWS Control Tower 建立的 IAM 角色 (除非已新增其他政策),然後重新建立 IAM 角色,以從共用帳戶撤銷 AWS Control Tower OrganizationsFullAccessRole 許可。

  • 刪除與共用帳戶相關的記錄。

  • 刪除與客戶建立 OU 相關的記錄。

  • 刪除識別主區域的內部記錄。

注意

解除委任後,如果您的 VPC 不是空的,您可能會想要移除帳戶團隊 VPC 藍圖 (BP_ACCOUNT_FACTORY_VPC) 以清理路由和 NAT 閘道。