演练:在没有 VPC 的情况下配置 AWS Control Tower - AWS Control Tower
删除 AWS Control Tower VPC 在没有 VPC 的 AWS Control Tower 中创建账户

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

演练:在没有 VPC 的情况下配置 AWS Control Tower

本主题介绍如何在没有 VPC 的情况下配置您的 AWS Control Tower 账户。

如果您的工作负载不需要 VPC,可以执行以下操作:

  • 您可以删除 AWS Control Tower 虚拟私有云 (VPC)。此 VPC 是在您设置登录区域时创建的。

  • 您可以更改您的 Account Factory 设置,以便在没有关联 VPC 的情况下创建新的 AWS Control Tower 账户。

重要

如果您在启用 VPC 互联网访问设置的情况下配置 Account Factor y 账户,则该 Account Factory 设置将覆盖 “禁止客户管理的 Amazon VPC 实例访问互联网” 控件。要避免为新配置的账户启用互联网接入,您必须在 Account Factory 中更改设置。

删除 AWS Control Tower VPC

在 AWS Control Tower 之外,每位 AWS 客户都有一个默认 VPC,您可以在亚马逊虚拟私有云(亚马逊 VPC)控制台上查看,网址为 https://console.aws.amazon.com/vpc/。您可以识别出默认 VPC,因为其名称的末尾位置总是包含(默认值)字样。

在您设置 AWS Control Tower 着陆区时,AWS Control Tower 会删除您的 AWS 默认 VPC 并创建一个新的 AWS 控制塔默认 VPC。新的 VPC 已与您的 AWS Control Tower 管理账户关联。本主题将新的 VPC 称为 Cont rol Tower VPC

当您在亚马逊 VPC 控制台中查看 AWS Control Tower VPC 时,名称末尾不会看到(默认)字样。如果您有多个 VPC,则必须使用分配的 CIDR 范围来识别正确的 AWS Control Tower VPC。

您可以删除 AWS Control Tower VPC,但是如果您以后需要在 AWS Control Tower 中建一个 VPC,则必须自己创建。

删除 AWS Control Tower VPC

  1. 通过 https://console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。

  2. 在 Service Catalog 选项中搜索VPC或选择 VPC。然后,您可以看到 VPC 控制面板

  3. 从左侧的菜单中,选择 Your VPCs (您的 VPC)。然后,您可以看到您的所有 VPC。

  4. 通过 CIDR 范围识别 AWS Control Tower VPC。

  5. 要删除 VPC,请选择 Actions (操作),然后选择 Delete VPC (删除 VPC)

AWS Control Tower 管理账户的每个区域中都已存在一个 AWS (默认)VPC。为了遵循最佳安全实践,如果您选择删除 AWS Control Tower VPC,最好同时从所有 AWS 区域中删除与该管理账户关联的 AWS 默认 VPC。因此,为了保护管理账户的安全,请从每个区域移除默认 VPC,并移除 Control Tower 在您的 AWS Control Tower 主区域中创建的 VPC。

在没有 VPC 的 AWS Control Tower 中创建账户

如果您的最终用户工作负载不需要 VPC,则可以使用此方法来设置未自动为其创建 VPC 的最终用户帐户。

在 AWS Control Tower 控制面板中,您可以查看和编辑您的网络配置设置。在您更改设置以便在没有关联 VPC 的情况下创建 AWS Control Tower 账户后,所有新账户都是在没有 VPC 的情况下创建的,直到您再次更改设置为止。

配置 Account Factory 以创建没有 VPC 的账户

  1. 打开网络浏览器,然后导航到 AWS Control Tower 控制台,网址为 https://console.aws.amazon.com/controltower

  2. 从左侧菜单中选择 Ac count Fac tory。

  3. 然后,您将看到带有网络配置部分的 Account Factory 页面。

  4. 请记录当前设置(如果您打算以后恢复设置的话)。

  5. 在 “网络配置” 部分中选择 “编辑” 按钮。

  6. Edit account factory network configuration (编辑账户工厂网络配置) 页面中,转到 VPC Configuration options for new accounts (新账户的 VPC 配置选项) 部分。

    您可以按照选项 1 或选项 2 或两者兼而有之,确保 AWS Control Tower 在配置账户时不会创建 VPC。

    1. 选项 1-移除子网

      • 关闭 Internet-accessible subnet (可访问 Internet 的子网) 切换开关。

      • Maximum number of private subnets (最大私有子网数) 值设置为 0。

    2. 选项 2-移除 AWS 区域

      • 清除 Regions for VPC creation (VPC 创建区域) 列中的每个复选框。

  7. 选择保存

可能的错误

请注意,当您删除 AWS Control Tower VPC 或重新配置 Account Factory 以创建没有 VPC 的账户时,可能会出现这些错误。

  • 您的现有管理账户可能在 AWS Control Tower VPC 中存在依赖关系或资源,这可能会导致删除失败错误。

  • 如果您在设置时保留默认 CIDR,以便启动不含 VPC 的新账户,则您的请求将失败并出现 the CIDR is not valid (该 CIDR 无效) 错误。