Configuración después del desmantelamiento de una landing zone - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración después del desmantelamiento de una landing zone

Después de retirar la zona de inicio, no podrá ejecutar correctamente la configuración de nuevo hasta que haya finalizado la limpieza manual. Además, sin la limpieza manual de estos recursos restantes, puede incurrir en cargos de facturación inesperados. Debe atender estas cuestiones:

  • La cuenta de administración de la Torre de Control de AWS forma parte de la unidad organizativa raíz de la Torre de Control de AWS. Asegúrese de eliminar estas funciones y políticas de IAM de la cuenta de administración:

    • Roles:

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Políticas:

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Es posible que desee eliminar o actualizar la configuración del centro de identidad de IAM existente para AWS Control Tower antes de volver a subir a una landing zone, pero no es obligatorio que la elimine.

  • Es posible que desee eliminar la VPC creada por AWS Control Tower.

  • La configuración falla si las direcciones de correo electrónico especificadas para las cuentas de registro o auditoría están asociadas a una AWS cuenta existente. Puedes cerrar las AWS cuentas o usar direcciones de correo electrónico diferentes para volver a configurar una landing zone. Como alternativa, puedes reutilizar estas cuentas compartidas existentes, con la función que te permite crear tus propias cuentas de registro y auditoría. Para obtener más información, consulte Consideraciones a la hora de incorporar las cuentas de seguridad o de registro existentes.

  • La configuración falla si ya existen buckets de Amazon S3 con los siguientes nombres reservados en la cuenta de registro:

    • aws-controltower-logs-{accountId}-{region} (utilizado para el bucket de registro).

    • aws-controltower-s3-access-logs-{accountId}-{region} (utilizado para el bucket de acceso de registro).

    Debe cambiar el nombre o quitar estos buckets o usar una cuenta diferente para la cuenta de registro.

  • La configuración falla si la cuenta de administración tiene el grupo de CloudWatch registros existenteaws-controltower/CloudTrailLogs, en Logs. Debe cambiar el nombre o quitar el grupo de registro.

Antes de configurarlo en un nuevo Región de AWS

Si quieres configurar una nueva landing zone en una nueva AWS región, sigue estos pasos adicionales.

  • Introduzca el siguiente comando a través de la CLI:

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

  • Elimine la regla gestionada restante, denominadaAWSControlTowerManagedRule, de las cuentas compartidas y de los miembros de todas las regiones gobernadas.

nota

No puedes configurar una nueva landing zone en una organización con unidades organizativas de nivel superior denominadas Security o Sandbox. Debe cambiar el nombre o quitar estas unidades organizativas para volver a configurar una zona de inicio.