逐步解說:在沒有 VPC 的情況下設定 AWS Control Tower - AWS Control Tower
刪除 AWS Control Tower VPC 在沒有 VPC 的 AWS Control Tower 中建立帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

逐步解說:在沒有 VPC 的情況下設定 AWS Control Tower

本主題將逐步介紹如何在沒有 VPC 的情況下設定 AWS Control Tower 帳戶。

如果您的工作負載不需要 VPC,您可以執行下列動作:

  • 您可以刪除 AWS Control Tower 虛擬私有雲端 (VPC)。此 VPC 是在您設定登陸區域時建立。

  • 您可以變更 Account Factory 設定,以便在沒有關聯 VPC 的情況下建立新的 AWS Control Tower Tall 帳戶。

重要

如果在啟用 VPC 網際網路存取設定的情況下佈建 Account Factory 帳戶,則該 Account Factory 設定會覆寫客戶管理之 Amazon VPC 執行個體的「禁止網際網路存取」控制項。若要避免為新佈建的帳戶啟用網際網路存取,您必須變更 Account Factory 中的設定。

刪除 AWS Control Tower VPC

在 AWS Control Tower 外,每個 AWS 客戶都有一個預設的 VPC,您可以在 Amazon Virtual Private Cloud 端 (Amazon VPC) 主控台上查看,網址為 https://console.aws.amazon.com/vpc/。由於其名稱總是在名稱結尾包括此字詞 (預設),因此您將可辨識出預設 VPC。

當您設定 AWS Control Tower landing zone 時,AWS Control Tower 會刪除您的 AWS 預設 VPC,並建立新的 AWS Control Tower 預設 VPC。新的 VPC 與您的 AWS Control Tower 管理帳戶相關聯。本主題將該新 VPC 稱為 Control Tower V PC。

當您在 Amazon VPC 主控台中檢視 AWS Control Tower VPC 時,名稱末尾會看到這個字 (預設值)。如果您有多個 VPC,則必須使用指派的 CIDR 範圍來識別正確的 AWS Control Tower VPC。

您可以刪除 AWS Control Tower VPC,但是如果稍後需要 AWS Control Tower 中的 VPC,則必須自行建立 VPC。

若要刪除 AWS Control Tower VPC

  1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 從 Service Catalog 選項中搜尋VPC或選取 VPC。您之後就會看到 VPC Dashboard (VPC 儀表板)

  3. 從左側功能表中 , 選擇 Your VPCs (您的 VPC)。接著則可看到所有 VPC 的清單。

  4. 按照其 CIDR 範圍識別 AWS Control Tower VPC 人雲端。

  5. 若要刪除 VPC,並選擇 Actions (動作),然後選擇 Delete VPC (刪除 VPC)

AWS Control Tower 管理帳戶的每個區域都已存在 AWS (預設) VPC。若要遵循安全最佳實務,如果您選擇刪除 AWS Control Tower VPC,最好也從所有 AWS 區域刪除與管理帳戶關聯的 AWS 預設 VPC。因此,若要保護管理帳戶,請從每個區域移除預設 VPC,並移除由 Control Tower 在 AWS Control Tower Control Twer 本地區域中建立的 VPC。

在沒有 VPC 的 AWS Control Tower 中建立帳戶

如果您的使用者工作負載不需要 VPC,您可以使用此方法來設定沒有自動為其建立 VPC 的使用者帳戶。

您可以從 AWS Control Tower 儀表板檢視和編輯網路組態設定。變更設定以便在沒有關聯 VPC 的情況下建立 AWS Control Tower 帳戶後,會在沒有 VPC 的情況下建立所有新帳戶,直到您再次變更設定為止。

若要設定 Account Factory 理站以建立沒有 VPC 的帳戶

  1. 開啟網頁瀏覽器,然後瀏覽至 AWS Control Tower 主控台,網址為 https://console.aws.amazon.com/controltower

  2. 從左側選單中選擇「Account Factory」。

  3. 接著您會看到 [Account Factory] 頁面,其中包含 [網路組態] 區段

  4. 如果您之後想要還原目前的設定,請記下目前的設定。

  5. 選擇「網路組態」段落中的 「編輯」按鈕。

  6. Edit account factory network configuration (編輯帳戶團隊網路組態) 頁面中,前往 VPC Configuration options for new accounts (新帳戶的 VPC 組態選項) 區段。

    您可以遵循選項 1選項 2 或兩者,以確保 AWS Control Tower 在佈建帳戶時不會建立 VPC。

    1. 選項 1-刪除子網

      • 關閉 Internet-accessible subnet (可從網際網路存取的子網路) 切換開關。

      • Maximum number of private subnets (私有子網路上限) 的值設為 0。

    2. 選項 2 — 移除 AWS 區域

      • 清除 Regions for VPC creation (VPC 建立的區域) 欄中的每個核取方塊。

  7. 選擇儲存

可能的錯誤

請注意刪除 AWS Control Tower VPC 或重新設定 Account Factory 以建立沒有 VPC 的帳戶時,可能發生的錯誤。

  • 您現有的管理帳戶可能在 AWS Control Tower VPC 中具有相依性或資源,這可能會導致刪除失敗錯誤。

  • 如果您在設為啟動沒有 VPC 的新帳戶時,沿用預設的 CIDR,您的請求則會失敗,並出現 CIDR 無效的錯誤。