解除委任期間未移除的資源 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

解除委任期間未移除的資源

停用登陸區域不會完全反轉 AWS Control Tower 設定程序。某些資源仍然存在,可以手動移除。

AWS Organizations

對於沒有現有 AWS Organizations 組織的客戶,AWS Control Tower 會設定一個組織,其中包含兩個組織單位 OUs),名為 Security and Sandbox。當您解除委任登陸區域時,會保留組織的階層,如下所示:

  • 您從 AWS Control Tower 主控台建立的組織單位 (OUs) 不會移除。

  • 不會移除安全和沙盒 OUs。

  • 組織不會從中刪除 AWS Organizations。

  • AWS Organizations (共用、佈建或管理) 中的帳戶不會移動或移除。

AWS IAM Identity Center (SSO)

對於沒有現有 IAM Identity Center 目錄的客戶,AWS Control Tower 會設定 IAM Identity Center 並設定初始目錄。當您停用登陸區域時,AWS Control Tower 不會對 IAM Identity Center 進行任何變更。如有需要,您可以手動刪除存放在管理帳戶中的 IAM Identity Center 資訊。特別是,解除委任不會變更這些區域:

  • 使用帳戶團隊建立的使用者不會被移除。

  • 不會移除 AWS Control Tower 設定建立的群組。

  • AWS Control Tower 建立的許可集不會移除。

  • AWS 帳戶與 IAM Identity Center 許可集之間的關聯不會移除。

  • IAM Identity Center 目錄不會變更。

  • 不會移除 AWS Control Tower 的這些 IAM Identity Center 政策:

    • AWSControlTowerAdminPolicy

    • AWSControlTowerCloudTrailRolePolicy

    • AWSControlTowerStackSetRolePolicy

角色

在設定期間,如果您使用 主控台,AWS Control Tower 會為您建立特定角色,或者如果您透過 APIs 設定登陸區域,則它會要求您建立這些角色。當您停用登陸區域時,不會移除下列角色:

  • AWSControlTowerAdmin

  • AWSControlTowerCloudTrailRole

  • AWSControlTowerStackSetRole

  • AWSControlTowerConfigAggregatorRoleForOrganizations

Amazon S3 儲存貯體

在設定期間,AWS Control Tower 會在記錄帳戶中建立儲存貯體,以供記錄和記錄存取。當您解除委任登陸區域時,不會移除下列資源:

  • 不會移除日誌帳戶中的日誌和日誌記錄存取 S3 儲存貯體。

  • 不會移除日誌和日誌記錄存取儲存貯體的內容。

共用帳戶

在 AWS Control Tower 設定期間,會在安全 OU 中建立兩個共用帳戶 (稽核和日誌封存)。當您解除委任登陸區域時:

  • 在 AWS Control Tower 設定期間建立的共用帳戶不會關閉。

  • IAM OrganizationAccountAccessRole 角色會重新建立以符合標準 AWS Organizations 組態。

  • 會移除 AWSControlTowerExecution 角色。

佈建的帳戶

AWS Control Tower 客戶可以使用帳戶工廠來建立新的 AWS 帳戶。當您解除委任登陸區域時:

  • 您使用帳戶團隊建立的佈建帳戶不會關閉。

  • 中的佈建產品 AWS Service Catalog 不會移除。如果您透過終止這些帳戶來清除這些帳戶,其帳戶會移至根 OU

  • 不會移除 AWS Control Tower 建立的 VPC,也不會移除相關聯的 AWS CloudFormation 堆疊集 (BP_ACCOUNT_FACTORY_VPC)。

  • IAM OrganizationAccountAccessRole 角色會重新建立以符合標準 AWS Organizations 組態。

  • 會移除 AWSControlTowerExecution 角色。

CloudWatch Logs 日誌群組

CloudWatch Logs 日誌群組 aws-controltower/CloudTrailLogs會建立為名為 的藍圖的一部分AWSControlTowerBP-BASELINE-CLOUDTRAIL-MANAGEMENT。不會移除此日誌群組。而是刪除藍圖並保留資源。

  • 在您設定其他登陸區域之前,必須先手動刪除此日誌群組。

注意

登陸區域 3.0 和更新版本的客戶不需要刪除其個別註冊帳戶的 CloudTrail 日誌和 CloudTrail 日誌角色,因為這些是僅在管理帳戶中針對組織層級追蹤建立的。

從登陸區域 3.2 版開始,AWS Control Tower 會建立稱為 的 Amazon EventBridge 規則AWSControlTowerManagedRule。此規則會針對所有受管區域,在每個成員帳戶中建立。解除委任期間不會自動刪除規則,因此您必須先從所有受管區域的共用和成員帳戶手動刪除規則,才能在新區域中設定登陸區域。

有關如何刪除 AWS Control Tower 資源的程序,請參閱 移除 AWS Control Tower 資源