Procédure pas à pas : configurer AWS Control Tower sans VPC - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Procédure pas à pas : configurer AWS Control Tower sans VPC

Cette rubrique explique comment configurer vos comptes AWS Control Tower sans VPC.

Si votre charge de travail ne nécessite pas de VPC, vous pouvez effectuer les opérations suivantes :

  • Vous pouvez supprimer le cloud privé virtuel (VPC) d'AWS Control Tower. Ce VPC a été créé lorsque vous avez configuré votre zone d'accueil.

  • Vous pouvez modifier les paramètres de votre Account Factory afin que de nouveaux comptes AWS Control Tower soient créés sans VPC associé.

Important

Si vous configurez des comptes Account Factory avec les paramètres d'accès Internet VPC activés, ce paramètre annule le contrôle Interdire l'accès à Internet pour une instance Amazon VPC gérée par un client. Pour éviter d'activer l'accès à Internet pour les comptes nouvellement provisionnés, vous devez modifier le paramètre dans Account Factory.

Supprimer le VPC AWS Control Tower

En dehors d'AWS Control Tower, chaque AWS client dispose d'un VPC par défaut, que vous pouvez consulter sur la console Amazon Virtual Private Cloud (Amazon VPC) à l'adresse https://console.aws.amazon.com/vpc/. Vous reconnaîtrez le VPC par défaut, car son nom inclut toujours le mot (default) à la fin du nom.

Lorsque vous configurez une zone de landing zone AWS Control Tower, AWS Control Tower supprime votre VPC AWS par défaut et crée un nouveau VPC par défaut AWS Control Tower. Le nouveau VPC est associé à votre compte de gestion AWS Control Tower. Cette rubrique désigne ce nouveau VPC sous le nom de VPC Control Tower.

Lorsque vous consultez votre VPC AWS Control Tower dans la console Amazon VPC, le mot (par défaut) ne s'affiche pas à la fin du nom. Si vous possédez plusieurs VPC, vous devez utiliser la plage d'adresses CIDR attribuée pour identifier le VPC AWS Control Tower approprié.

Vous pouvez supprimer le VPC AWS Control Tower, mais si vous avez besoin ultérieurement d'un VPC dans AWS Control Tower, vous devez le créer vous-même.

Pour supprimer le VPC AWS Control Tower
  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Recherchez VPC ou sélectionnez VPC dans les options du Service Catalog. Vous voyez ensuite le tableau de bord VPC.

  3. Dans le menu de gauche, choisissez Your VPCs (Vos VPC). Vous voyez ensuite une liste de tous vos VPC.

  4. Identifiez le VPC AWS Control Tower en fonction de sa plage de CIDR.

  5. Sélectionnez le VPC, choisissez Actions, puis Delete VPC (Supprimer le VPC).

Un VPC AWS (par défaut) existe déjà dans chaque région pour le compte de gestion AWS Control Tower. Conformément aux meilleures pratiques en matière de sécurité, si vous choisissez de supprimer le VPC AWS Control Tower, il est également préférable de supprimer le AWS VPC par défaut associé au compte de gestion dans toutes les régions. AWS Par conséquent, pour sécuriser le compte de gestion, supprimez le VPC par défaut de chaque région, ainsi que le VPC créé par Control Tower dans votre région d'origine AWS Control Tower.

Créez un compte dans AWS Control Tower sans VPC

Si les charges de travail de vos utilisateurs finaux ne nécessitent pas de VPC, vous pouvez utiliser cette méthode pour configurer des comptes d'utilisateurs finaux pour lesquels aucun VPC n'a été créé automatiquement.

Depuis le tableau de bord d'AWS Control Tower, vous pouvez consulter et modifier les paramètres de configuration de votre réseau. Une fois que vous avez modifié les paramètres afin que les comptes AWS Control Tower soient créés sans VPC associé, tous les nouveaux comptes sont créés sans VPC jusqu'à ce que vous modifiiez à nouveau les paramètres.

Pour configurer Account Factory afin de créer des comptes sans VPC
  1. Ouvrez un navigateur Web et accédez à la console AWS Control Tower à l'adresse https://console.aws.amazon.com/controltower.

  2. Choisissez Account Factory dans le menu de gauche.

  3. Vous voyez ensuite la page Account Factory avec la section Configuration réseau.

  4. Notez les paramètres actuels si vous avez l'intention de les restaurer ultérieurement.

  5. Choisissez le bouton Edit (Modifier) dans la section Network Configuration (Configuration du réseau).

  6. Sur la page Edit account factory network configuration (Modifier la configuration du réseau Account Factory), accédez à la section VPC Configuration options for new accounts (Options de configuration des VPC pour les nouveaux comptes) .

    Vous pouvez suivre l'option 1 ou l'option 2, ou les deux, pour vous assurer qu'AWS Control Tower ne crée pas de VPC lors du provisionnement d'un compte.

    1. Option 1 — Supprimer des sous-réseaux
      • Désactivez le commutateur bascule du sous-réseau accessible sur Internet .

      • Définissez la valeur Maximum number of private subnets (Nombre maximal de sous-réseaux privés) sur 0.

    2. Option 2 — Supprimer des AWS régions
      • Désactivez chaque case à cocher de la colonne Regions for VPC creation (Régions pour la création de VPC).

  7. Choisissez Enregistrer.

Erreurs possibles

Soyez conscient de ces erreurs possibles qui peuvent se produire lorsque vous supprimez votre VPC AWS Control Tower ou que vous reconfigurez Account Factory pour créer des comptes sans VPC.

  • Votre compte de gestion existant peut comporter des dépendances ou des ressources dans le VPC AWS Control Tower, ce qui peut provoquer une erreur de suppression.

  • Si vous conservez le CIDR par défaut en place lorsque vous configurez pour lancer de nouveaux comptes sans VPC, votre demande échoue avec une erreur indiquant que le CIDR n'est pas valide.