Configurazione dopo la disattivazione di una landing zone - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dopo la disattivazione di una landing zone

Dopo aver disattivato la landing zone, non è possibile eseguire nuovamente l'installazione fino al completamento della pulizia manuale. Inoltre, senza la pulizia manuale di queste risorse rimanenti, è possibile che vengano addebitati costi di fatturazione imprevisti. È necessario occuparsi di questi problemi:

  • L'account di gestione AWS Control Tower fa parte dell'unità organizzativa AWS Control Tower Root. Assicurati che questi ruoli IAM e le policy IAM vengano rimossi dall'account di gestione:

    • Ruoli:

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Policy:

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Potresti voler eliminare o aggiornare la configurazione esistente di IAM Identity Center per AWS Control Tower prima di configurare nuovamente una landing zone, ma non è necessario eliminarla.

  • Potresti voler rimuovere il VPC creato da AWS Control Tower.

  • La configurazione fallisce se gli indirizzi e-mail specificati per gli account di registrazione o di controllo sono associati a un account esistente AWS . Puoi chiudere gli AWS account o utilizzare indirizzi e-mail diversi per configurare nuovamente una landing zone. In alternativa, puoi riutilizzare questi account condivisi esistenti, con la funzione che ti consente di creare i tuoi account di registrazione e controllo. Per ulteriori informazioni, consulta Considerazioni sull'utilizzo degli account di sicurezza o di registrazione esistenti.

  • L'installazione non riesce se nell'account di registrazione sono già presenti bucket Amazon S3 con i seguenti nomi riservati:

    • aws-controltower-logs-{accountId}-{region} ( utilizzato per il bucket di registrazione).

    • aws-controltower-s3-access-logs-{accountId}-{region} ( utilizzato per il bucket di accesso alla registrazione).

    È necessario rinominare o rimuovere questi bucket oppure utilizzare un account diverso per l'account di registrazione.

  • L'installazione fallisce se l'account di gestione ha il gruppo di log esistente,aws-controltower/CloudTrailLogs, in Logs. CloudWatch È necessario rinominare o rimuovere il gruppo di log.

Prima di configurarlo in un nuovo Regione AWS

Se intendi configurare una nuova landing zone in una nuova AWS regione, segui questi passaggi aggiuntivi.

  • Immettete il seguente comando tramite la CLI:

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

  • Elimina la regola gestita rimanente, chiamataAWSControlTowerManagedRule, dagli account condivisi e membri per tutte le regioni governate.

Nota

Non è possibile configurare una nuova landing zone in un'organizzazione con un livello superiore OUs denominato Security o Sandbox. È necessario rinominarli o rimuoverli OUs per configurare nuovamente una landing zone.