本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
停用 landing zone 后进行设置
停用您的登录区后,在手动清理完成之前,您无法再次成功执行设置。此外,如果不手动清理这些剩余资源,您可能会产生意外的账单费用。您必须注意以下问题:
-
AWS Control Tower 管理账户是 AWS Control Tower 根组织单位的一部分。请务必从管理账户中移除这些 IAM 角色和 IAM 策略:
-
角色:
- AWSControlTowerAdmin- AWSControlTowerCloudTrailRole- AWSControlTowerStackSetRole -
策略:
- AWSControlTowerAdminPolicy- AWSControlTowerCloudTrailRolePolicy- AWSControlTowerStackSetRolePolicy
-
-
在再次进入着陆区之前,您可能希望删除或更新 AWS Control Tower 的现有 IAM 身份中心配置,但无需将其删除。
-
您可能希望移除 AWS Control Tower 创建的 VPC。
-
如果为日志或审计帐户指定的电子邮件地址与现有 AWS 帐户相关联,则安装将失败。您可以关闭 AWS 账户,也可以使用不同的电子邮件地址重新设置着陆区。或者,您可以重复使用这些现有的共享帐户,该功能允许您自带日志和审计帐户。有关更多信息,请参阅 引入现有安全账户或日志账户的注意事项。
-
如果日志账户中已存在具有以下保留名称的 Amazon S3 存储桶,则安装将失败:
-
aws-controltower-logs-(用于日志记录存储桶)。{accountId}-{region}
-
aws-controltower-s3-access-logs-(用于日志记录访问存储桶)。{accountId}-{region}
您必须重命名或删除这些存储桶,或者为日志记录账户使用其他账户。
-
-
如果管理账户在 “日志” 中 CloudWatch 拥有现有的日志组
aws-controltower/CloudTrailLogs,则安装将失败。您必须重命名或删除日志组。
在设置新版本之前 AWS 区域
如果您打算在新区域中设置新的着陆 AWS 区,请按照以下额外步骤操作。
-
通过 CLI 输入以下命令:
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com -
从所有受管辖区域的共享账户和成员账户中删除剩余的名
AWSControlTowerManagedRule为的托管规则。
注意
您无法在拥有名为 Sec ur ity 或 S andbox 的顶级 OU 的组织中设置新的着陆区。您必须重命名或删除这些 OU 才能再次设置登录区。
