Tutorial: Retirar del servicio una zona de aterrizaje de una Torre de Control de AWS - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Retirar del servicio una zona de aterrizaje de una Torre de Control de AWS

AWS Control Tower le permite configurar y gobernar AWS entornos seguros de múltiples cuentas, conocidos como zonas de aterrizaje. El proceso de limpieza de todos los recursos asignados por la Torre de Control de AWS se denomina desmantelamiento de una landing zone.

Si ya no desea utilizar la Torre de Control de AWS, la herramienta de desmantelamiento automatizada limpia los recursos asignados por la Torre de Control de AWS. Para iniciar el proceso de desmantelamiento automatizado, vaya a la página de configuración de la zona de aterrizaje, seleccione la pestaña de desmantelamiento y elija Desmantelar zona de aterrizaje.

Para obtener una lista de las acciones realizadas durante el desmantelamiento, consulte. Descripción general del proceso de desmantelamiento

aviso

Eliminar manualmente todos los recursos de la Torre de Control de AWS no es lo mismo que retirarlos. No te permitirá configurar una nueva landing zone.

El proceso de desmantelamiento AWS Organizations no modifica sus datos ni los existentes de las siguientes maneras.

  • AWS Control Tower no elimina los datos, solo elimina partes de la zona de inicio que creó.

  • Una vez finalizado el proceso de desmantelamiento, quedan algunos artefactos de recursos, como los buckets de Amazon S3 y los grupos de CloudWatch registros de Amazon Logs. Estos recursos se deben eliminar manualmente antes de configurar otra zona de inicio y para evitar posibles costos asociados al mantenimiento de determinados recursos.

  • No puede utilizar el desmantelamiento automático para eliminar una zona de aterrizaje parcialmente configurada. Si el proceso de configuración de la zona de aterrizaje falla, debe resolver el estado de error y configurarlo todo el camino para que sea posible el desmantelamiento automático, o debe eliminar manualmente los recursos individualmente.

La retirada de una zona de inicio es un proceso con consecuencias importantes y no se puede deshacer. En las siguientes secciones se describen las medidas de desmantelamiento adoptadas por la Torre de Control de AWS y los artefactos que quedan tras el desmantelamiento.

importante

Le recomendamos encarecidamente que realice este proceso de retirada solo si tiene intención de dejar de utilizar su zona de inicio. No es posible volver a crear la zona de inicio existente después de que la haya retirado.

Tras el desmantelamiento, es necesario realizar tareas de limpieza manuales

  • Debe especificar direcciones de correo electrónico diferentes para las cuentas de archivo de registro y de auditoría si crea una nueva landing zone después de desmantelar una, o sigue el procedimiento para incorporar sus propias cuentas de archivo de registro o de auditoría existentes.

  • El grupo de CloudWatch registrosaws-controltower/CloudTrailLogs,, debe eliminarse manualmente antes de configurar otra landing zone.

  • Los dos buckets de Amazon S3 con nombres reservados para los registros se deben eliminar o cambiar de nombre manualmente.

  • Debe eliminar o cambiar el nombre de las unidades organizativas de Security y Sandbox existentes manualmente.

    nota

    Antes de poder eliminar la organización OU de AWS Control Tower Security, primero debe eliminar las cuentas de registro y auditoría, pero no la cuenta de administración. Para eliminar estas cuentas, debe ¿Cuándo iniciar sesión como usuario root en la cuenta de auditoría y en la cuenta de registro y eliminarlas individualmente.

  • Es posible que desee eliminar manualmente la configuración AWS IAM Identity Center (del Centro de identidad de IAM) de la Torre de Control de AWS, pero puede continuar con la configuración del Centro de identidad de IAM existente.

  • Es posible que desee eliminar la VPC creada por AWS Control Tower y eliminar el conjunto de CloudFormation pilas de AWS asociado.

  • Para poder configurar una nueva landing zone en una nueva AWS región, debes seguir estos pasos adicionales.

    • Introduzca el siguiente comando a través de la CLI:

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

    • Elimine la regla gestionada restante, denominadaAWSControlTowerManagedRule, de las cuentas compartidas y de los miembros de todas las regiones gobernadas. AWSControlTowerManagedRulees una EventBridge regla de Amazon.