Configuración después de la retirada de una zona de aterrizaje - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración después de la retirada de una zona de aterrizaje

Después de retirar la zona de inicio, no podrá ejecutar correctamente la configuración de nuevo hasta que haya finalizado la limpieza manual. Además, sin la limpieza manual de estos recursos restantes, puede incurrir en cargos de facturación inesperados. Debe atender estas cuestiones:

  • La cuenta de administración de la Torre de AWS Control forma parte de la unidad organizativa raíz de la Torre de AWS Control. Asegúrese de eliminar estas IAM funciones y IAM políticas de la cuenta de administración:

    • Roles:

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Políticas:

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Es posible que desees eliminar o actualizar la configuración del Centro de IAM Identidad existente para AWS Control Tower antes de volver a subir a una landing zone, pero no es obligatorio que la elimines.

  • Es posible que desees eliminar lo VPC creado por AWS Control Tower.

  • La configuración falla si las direcciones de correo electrónico especificadas para las cuentas de registro o auditoría están asociadas a una AWS cuenta existente. Puedes cerrar las AWS cuentas o usar direcciones de correo electrónico diferentes para volver a configurar una landing zone. Como alternativa, puede reutilizar estas cuentas compartidas existentes, con la función que permite incorporar las cuentas de registro y auditoría propias. Para obtener más información, consulte Consideraciones a la hora de incorporar las cuentas de seguridad o de registro existentes.

  • La configuración falla si ya existen buckets de Amazon S3 con los siguientes nombres reservados en la cuenta de registro:

    • aws-controltower-logs-{accountId}-{region} (utilizado para el bucket de registro).

    • aws-controltower-s3-access-logs-{accountId}-{region} (utilizado para el bucket de acceso de registro).

    Debe cambiar el nombre o quitar estos buckets o usar una cuenta diferente para la cuenta de registro.

  • La configuración falla si la cuenta de administración tiene el grupo de registros existenteaws-controltower/CloudTrailLogs, en CloudWatch Registros. Debe cambiar el nombre o quitar el grupo de registro.

Antes de configurarlo en un nuevo Región de AWS

Si tienes intención de configurar una nueva landing zone en una nueva AWS región, sigue estos pasos adicionales.

  • Introduce el siguiente comando a través deCLI:

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

  • Elimine la regla administrada restante, denominadaAWSControlTowerManagedRule, de las cuentas compartidas y de miembro de todas las regiones gobernadas.

nota

No puedes configurar una nueva landing zone en una organización OUs cuyo nivel superior se llame Security o Sandbox. Debes cambiarles el nombre o eliminarlos OUs para volver a configurar una landing zone.