Exemplarische Vorgehensweise: Außerbetriebnahme einer AWS Control Tower Tower-Landezone - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Exemplarische Vorgehensweise: Außerbetriebnahme einer AWS Control Tower Tower-Landezone

Mit AWS Control Tower können Sie sichere AWS Umgebungen mit mehreren Konten einrichten und verwalten, die als Landing Zones bezeichnet werden. Der Vorgang der Bereinigung aller vom AWS Control Tower zugewiesenen Ressourcen wird als Außerbetriebnahme einer landing zone bezeichnet.

Wenn Sie AWS Control Tower nicht mehr verwenden möchten, bereinigt das automatisierte Tool zur Außerbetriebnahme die von AWS Control Tower zugewiesenen Ressourcen. Um den automatisierten Außerbetriebnahmeprozess zu starten, navigieren Sie zur Seite landing zone Settings, wählen Sie die Registerkarte Außerbetriebnahme und anschließend Landingzone außer Betrieb nehmen.

Eine Liste der während der Außerbetriebnahme durchgeführten Aktionen finden Sie unter. Überblick über den Außerbetriebnahmeprozess

Warnung

Das manuelle Löschen all Ihrer AWS Control Tower Tower-Ressourcen ist nicht dasselbe wie eine Außerbetriebnahme. Sie können damit keine neue landing zone einrichten.

Ihre Daten und Ihre vorhandenen Daten AWS Organizations werden durch den Stilllegungsprozess auf folgende Weise nicht geändert.

  • AWS Control Tower entfernt nicht Ihre Daten, sondern nur Teile der Landing Zone, die AWS Control Tower erstellte.

  • Nach Abschluss des Außerbetriebnahmevorgangs verbleiben einige Ressourcenartefakte wie Amazon S3 S3-Buckets und Amazon CloudWatch Logs-Protokollgruppen. Diese Ressourcen müssen manuell gelöscht werden, bevor Sie eine weitere Landing Zone einrichten, um mögliche Kosten im Zusammenhang mit dem Beibehalten bestimmter Ressourcen zu vermeiden.

  • Sie können die automatische Außerbetriebnahme nicht verwenden, um eine teilweise eingerichtete Landing Zone zu entfernen. Wenn der Einrichtungsprozess für die Landing Zone fehlschlägt, müssen Sie den Fehlerstatus beheben und die Landing Zone vollständig neu einrichten, um eine automatische Außerbetriebnahme zu ermöglichen. Andernfalls müssen Sie die Ressourcen einzeln löschen.

Das Außerbetriebnehmen einer Landing Zone ist ein Prozess mit erheblichen Auswirkungen und kann nicht rückgängig gemacht werden. Die von AWS Control Tower ergriffenen Maßnahmen zur Außerbetriebnahme und die Artefakte, die nach der Außerbetriebnahme verbleiben, werden in den folgenden Abschnitten beschrieben.

Wichtig

Wir empfehlen Ihnen dringend, diesen Außerbetriebnahmeprozess nur dann durchzuführen, wenn Sie beabsichtigen, Ihre Landing Zone nicht mehr zu verwenden. Es ist nicht möglich, Ihre bestehende Landing Zone neu zu erstellen, nachdem Sie sie außer Betrieb genommen haben.

Nach der Außerbetriebnahme sind manuelle Bereinigungsaufgaben erforderlich

  • Sie müssen unterschiedliche E-Mail-Adressen für die Konten Log Archive und Audit angeben, wenn Sie nach der Außerbetriebnahme eine neue landing zone einrichten, oder Sie müssen das Verfahren befolgen, um Ihre eigenen bestehenden Log-Archiv- oder Audit-Konten mitzunehmen.

  • Die Protokollgruppe CloudWatch Logs,aws-controltower/CloudTrailLogs, muss manuell gelöscht werden, bevor Sie eine weitere landing zone einrichten.

  • Die beiden Amazon S3 S3-Buckets mit reservierten Namen für Protokolle müssen manuell entfernt oder umbenannt werden.

  • Sie müssen die vorhandenen Security - und Sandbox-Organisationseinheiten manuell löschen oder umbenennen.

    Anmerkung

    Bevor Sie die Organisation der AWS Control Tower Security OU löschen können, müssen Sie zuerst die Protokollierungs- und Auditkonten löschen, nicht jedoch das Verwaltungskonto. Um diese Konten zu löschen, müssen Sie die Wann sollten Sie sich als Root-Benutzer anmelden beim Prüfungskonto und Protokollierungskonto vornehmen und diese einzeln löschen.

  • Möglicherweise möchten Sie die AWS IAM Identity Center (IAM Identity Center) -Konfiguration für AWS Control Tower manuell löschen, aber Sie können mit der vorhandenen IAM Identity Center-Konfiguration fortfahren.

  • Möglicherweise möchten Sie die von AWS Control Tower erstellte VPC und das zugehörige CloudFormation AWS-Stack-Set entfernen.

  • Bevor Sie eine neue landing zone in einer neuen AWS Region einrichten können, müssen Sie die folgenden zusätzlichen Schritte ausführen.

    • Geben Sie den folgenden Befehl über die CLI ein:

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

    • Löschen Sie die verbleibende verwaltete Regel (genanntAWSControlTowerManagedRule) aus den gemeinsamen Konten und Mitgliedskonten für alle verwalteten Regionen. AWSControlTowerManagedRuleist eine EventBridge Amazon-Regel.