Procédure : Configuration d'AWS Control Tower sans VPC - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Procédure : Configuration d'AWS Control Tower sans VPC

Cette rubrique explique comment configurer vos comptes AWS Control Tower sans VPC.

Si votre charge de travail ne nécessite pas de VPC, vous pouvez effectuer les opérations suivantes :

  • Vous pouvez supprimer le Virtual Private Cloud (VPC) AWS Control Tower. Ce VPC a été créé lorsque vous avez configuré votre zone d'accueil.

  • Vous pouvez modifier vos paramètres Account Factory afin que de nouveaux comptes AWS Control Tower soient créés sans VPC associé.

Important

Si vous configurez des comptes Account Factory avec des paramètres d'accès Internet VPC activés, ce paramètre de la Account Factory remplace le garde-corpsInterdire l'accès à Internet pour une instance Amazon VPC gérée par un client. Pour éviter d'activer l'accès à Internet pour les comptes nouvellement provisionnés, vous devez modifier le paramètre dans la Account Factory.

Supprimer le VPC AWS Control Tower

En dehors d'AWS Control Tower, chaqueAWSle client dispose d'un VPC par défaut, que vous pouvez afficher sur la console Amazon Virtual Private Cloud (Amazon VPC) à l'adressehttps://console.aws.amazon.com/vpc/. Vous reconnaîtrez le VPC par défaut, car son nom inclut toujours le mot (default) à la fin du nom.

Lorsque vous configurez une landing zone de la AWS Control Tower, AWS Control Tower supprime votreAWSVPC par défaut et crée un nouveau VPC par défaut AWS Control Tower. Le nouveau VPC est associé à votre compte de gestion AWS Control Tower. Cette rubrique fait référence à ce nouveau VPC en tant queControl Tower.

Lorsque vous affichez votre VPC AWS Control Tower dans la console Amazon VPC, vouspasVoir le mot(default)à la fin du nom. Si vous avez plusieurs VPC, vous devez utiliser la plage d'adresses CIDR attribuée pour identifier le VPC AWS Control Tower correct.

Vous pouvez supprimer le VPC AWS Control Tower, mais si vous avez besoin d'un VPC dans AWS Control Tower, vous devez le créer vous-même.

Pour supprimer le VPC AWS Control Tower

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Recherchez VPC ou sélectionnez VPC dans les options AWS Service Catalog. Vous voyez ensuite le tableau de bord VPC.

  3. Dans le menu de gauche, choisissez Your VPCs (Vos VPC). Vous voyez ensuite une liste de tous vos VPC.

  4. Identifiez le VPC AWS Control Tower par sa plage d'adresses CIDR.

  5. Sélectionnez le VPC, choisissez Actions, puis Delete VPC (Supprimer le VPC).

UnAWS (default)Un VPC existe déjà dans chaque région pour le compte de gestion AWS Control Tower. Pour suivre les bonnes pratiques de sécurité, si vous choisissez de supprimer le VPC AWS Control Tower, il est préférable de supprimer égalementAWSVPC par défaut associé au compte de gestion de tousAWSRégions. Par conséquent, pour sécuriser le compte de gestion, supprimez le VPC créé par Control Tower dans votre région d'origine AWS Control Tower.

Création d'un compte dans AWS Control Tower sans VPC

Si vos charges de travail d'utilisateur final ne nécessitent pas de VPC, vous pouvez utiliser cette méthode pour configurer des comptes d'utilisateur qui n'ont pas de VPC créés automatiquement.

Dans le tableau de bord AWS Control Tower, vous pouvez afficher et modifier vos paramètres de configuration réseau. Une fois que vous avez modifié les paramètres afin que les comptes AWS Control Tower soient créés sans VPC associé, tous les nouveaux comptes sont créés sans VPC jusqu'à ce que vous modifiiez à nouveau les paramètres.

Pour configurer Account Factory afin de créer des comptes sans VPC

  1. Ouvrez un navigateur web et accédez à la console AWS Control Tower à l'adressehttps://console.aws.amazon.com/controltower.

  2. ChoisissezAccount Factorydans le menu de gauche.

  3. Vous pouvez ensuite afficher la page Account Factory (Usine de comptes)Configuration réseauSection.

  4. Notez les paramètres actuels si vous avez l'intention de les restaurer ultérieurement.

  5. Choisissez le bouton Edit (Modifier) dans la section Network Configuration (Configuration du réseau).

  6. Sur la page Edit account factory network configuration (Modifier la configuration du réseau Account Factory), accédez à la section VPC Configuration options for new accounts (Options de configuration des VPC pour les nouveaux comptes) .

    Vous pouvez suivreOption 1ouOption 2, ou les deux, afin de s'assurer qu'AWS Control Tower ne crée pas de VPC lors du provisionnement d'un compte.

    1. Option 1 — Suppression de sous-réseaux

      • Désactivez le commutateur bascule du sous-réseau accessible sur Internet .

      • Définissez la valeur Maximum number of private subnets (Nombre maximal de sous-réseaux privés) sur 0.

      • Remplacez la restriction de plage d'adresses (CIDR) pour la valeur de VPC du compte par 10.0.0.0/16

    2. Option 2 — SuppressionAWSRégions

      • Désactivez chaque case à cocher de la colonne Regions for VPC creation (Régions pour la création de VPC).

      • Remplacez la restriction de plage d'adresses (CIDR) pour la valeur de VPC du compte par 10.0.0.0/16

  7. Choisissez Save (Enregistrer).

Erreurs possibles

Soyez conscient de ces erreurs possibles qui peuvent se produire lorsque vous supprimez votre VPC AWS Control Tower ou que vous reconfigurez Account Factory afin de créer des comptes sans VPC.

  • Votre compte de gestion existant peut avoir des dépendances ou des ressources dans le VPC AWS Control Tower, ce qui peut entraînerÉchec de suppressionErreur.

  • Si vous conservez le CIDR par défaut en place lorsque vous configurez pour lancer de nouveaux comptes sans VPC, votre demande échoue avec une erreur indiquant que le CIDR n'est pas valide.