Einrichtung nach der Außerbetriebnahme einer landing zone - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung nach der Außerbetriebnahme einer landing zone

Nachdem Sie Ihre Landing Zone außer Betrieb genommen haben, können Sie die Einrichtung erst dann wieder erfolgreich durchführen, wenn die manuelle Bereinigung abgeschlossen wurde. Außerdem können ohne manuelle Bereinigung dieser verbleibenden Ressourcen unerwartete Abrechnungskosten anfallen. Sie müssen sich mit diesen Aspekten befassen:

  • Das AWS Control Tower-Managementkonto ist Teil der AWS Control Tower Root OU. Stellen Sie sicher, dass diese IAM-Rollen und IAM-Richtlinien aus dem Verwaltungskonto entfernt wurden:

    • Rollen:

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Richtlinien:

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Möglicherweise möchten Sie die bestehende IAM Identity Center-Konfiguration für AWS Control Tower löschen oder aktualisieren, bevor Sie wieder eine landing zone aufrufen, aber es ist nicht erforderlich, dass Sie sie löschen.

  • Möglicherweise möchten Sie die von AWS Control Tower erstellte VPC entfernen.

  • Die Einrichtung schlägt fehl, wenn die für die Protokollierungs- oder Auditkonten angegebenen E-Mail-Adressen mit einem vorhandenen AWS Konto verknüpft sind. Sie können die AWS Konten schließen oder andere E-Mail-Adressen verwenden, um erneut eine landing zone einzurichten. Alternativ können Sie diese bestehenden gemeinsamen Konten mit der Funktion wiederverwenden, mit der Sie Ihre eigenen Protokollierungs- und Auditkonten verwenden können. Weitere Informationen finden Sie unter Überlegungen zur Mitnahme vorhandener Sicherheits- oder Protokollkonten.

  • Das Setup schlägt fehl, wenn Amazon S3 S3-Buckets mit den folgenden reservierten Namen bereits im Logging-Konto vorhanden sind:

    • aws-controltower-logs-{accountId}-{region} (wird für den Protokollierungsbucket verwendet).

    • aws-controltower-s3-access-logs-{accountId}-{region} (wird für den Bucket verwendet, mit dem Zugriffe protokolliert werden).

    Sie müssen diese Buckets entweder umbenennen oder entfernen oder ein anderes Konto für das Protokollierungskonto verwenden.

  • Die Installation schlägt fehl, wenn das Verwaltungskonto die bestehende Protokollgruppe,aws-controltower/CloudTrailLogs, unter CloudWatch Logs hat. Sie müssen die Protokollgruppe entweder umbenennen oder entfernen.

Bevor Sie ein neues einrichten AWS-Region

Wenn Sie beabsichtigen, eine neue landing zone in einer neuen AWS Region einzurichten, gehen Sie wie folgt vor.

  • Geben Sie den folgenden Befehl über die CLI ein:

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

  • Löschen Sie die verbleibende verwaltete Regel (genanntAWSControlTowerManagedRule) aus den gemeinsamen Konten und Mitgliedskonten aller verwalteten Regionen.

Anmerkung

Sie können in einer Organisation mit Organisationseinheiten der obersten Ebene, die entweder Security oder Sandbox heißen, keine neue landing zone einrichten. Sie müssen diese OUs umbenennen oder entfernen, um erneut eine Landing Zone einrichten zu können.