演练:停用 AWS Control Tower 着陆区 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

演练:停用 AWS Control Tower 着陆区

AWS Control Tower 允许您设置和管理安全的多账户 AWS 环境,即着陆区。清理 AWS Control Tower 分配的所有资源的过程称为停用着陆区。

如果您不想再使用 AWS Control Tower,则自动停用工具会清理 AWS Control Tower 分配的资源。要开始自动停用流程,请导航至 “着陆区设置” 页面,选择 “停用” 选项卡,然后选择 “停用” 着陆

有关停用期间执行的操作的列表,请参阅退役过程概述

警告

手动删除您的所有 AWS Control Tower 资源与停用不同。它不允许你设置新的着陆区。

停用过程不会通过以下方式更改您的数据和现有 AWS Organizations 数据。

  • AWS Control Tower 不会删除您的数据,它只会删除它创建的部分着陆区。

  • 停用过程完成后,仍有一些资源项目,例如 Amazon S3 存储桶和 Amazon Lo CloudWatch gs 日志组。在设置另一个登录区之前,必须手动删除这些资源,以避免产生与维护某些资源相关的可能成本。

  • 您无法使用自动停用功能来删除部分设置的登录区。如果登录区设置过程失败,则必须解析故障状态并将其设置为可以自动停用,或者必须手动逐个删除资源。

停用登录区是一个具有重大后果的过程且无法撤消。以下各节将介绍 AWS Control Tower 采取的停用操作以及停用后剩余的工件。

重要

我们强烈建议您仅在打算停止使用登录区时才执行此停用过程。在您停用现有的登录区后,无法重新创建此登录区。

停用后需要手动执行清理任务
  • 如果您在停用日志存档和审核帐户后创建新的登录区域,或者按照程序创建自己的现有日志存档或审核帐户,则必须为日志存档和审核帐户指定不同的电子邮件地址。

  • 在设置另一个 landing zone 之前aws-controltower/CloudTrailLogs,必须手动删除 Log CloudWatch s 日志组。

  • 必须手动移除或重命名两个带有日志保留名称的 Amazon S3 存储桶。

  • 您必须手动删除或重命名现有的安全沙盒组织单位。

    注意

    在删除 AWS Control Tower Sec urity OU 组织之前,必须先删除日志和审计账户,但不能删除管理账户。要删除这些账户,您必须何时以 root 用户身份登录到审核账户和日志记录账户,然后单独删除它们。

  • 您可能希望手动删除 AWS Control Tower 的 AWS IAM Identity Center (IAM 身份中心)配置,但您可以继续使用现有的 IAM 身份中心配置。

  • 您可能希望移除由 AWS Control Tower 创建的 VPC,并移除关联的 AWS CloudFormation 堆栈集。

  • 在新 AWS 区域中设置新的着陆区之前,必须执行以下额外步骤。

    • 通过 CLI 输入以下命令:

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
    • 从所有受管辖区域的共享账户和成员账户中删除剩余的名AWSControlTowerManagedRule为的托管规则。 AWSControlTowerManagedRule是 Amazon 的 EventBridge 规则。