Procédure : Désaffectation d'une zone d'atterrissage d'une AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Procédure : Désaffectation d'une zone d'atterrissage d'une AWS Control Tower

AWS Control Tower vous permet de configurer et de gérer plusieurs comptes sécurisésAWSenvironnements, appelés zones d'atterrissage. Le processus de nettoyage de toutes les ressources allouées par la AWS Control Tower est appelédésaffectationune landing zone.

Si vous ne souhaitez plus utiliser AWS Control Tower, l'outil de mise hors service automatique nettoie les ressources allouées par AWS Control Tower. Pour commencer le processus de mise hors service automatique, accédez auParamètres des zones d'atterrissagepage, sélectionnez l'onglet de mise hors service, puis choisissezDésaffecter la landing zone.

Pour obtenir la liste des actions effectuées lors de la mise hors service, consultezVue d'ensemble du processus de mise hors service.

Avertissement

La suppression manuelle de toutes les ressources de votre AWS Control Tower n'équivaut pas à la mise hors service. Cela ne vous permettra pas de créer une nouvelle landing zone.

Vos données et vos organisations AWS Organizations existantes ne sont pas modifiées par le processus de désaffectation, comme indiqué ci-dessous.

  • AWS Control Tower ne supprime pas vos données. Il supprime uniquement les parties de la zone de destination qu'il a créée.

  • Une fois le processus de mise hors service terminé, il reste quelques artefacts de ressources, tels que les compartiments S3 et Amazon CloudWatch Journalise les groupes de journaux. Ces ressources doivent être supprimées manuellement avant de configurer une autre zone de destination et pour éviter les coûts éventuels associés à la gestion de certaines ressources.

  • Vous ne pouvez pas utiliser la désaffectation automatique pour supprimer une zone de destination partiellement configurée. Si le processus de configuration de votre zone de destination échoue, vous devez résoudre l'état d’échec et le configurer jusqu’au bout pour rendre possible la désaffectation automatique, ou vous devez supprimer manuellement les ressources individuellement.

La désaffectation d'une zone de destination entraîne des modifications significatives et ne peut pas être annulé. Les actions de mise hors service entreprises par AWS Control Tower et les artefacts qui restent après la mise hors service sont décrits dans les sections suivantes.

Important

Nous vous recommandons fortement de n'effectuer ce processus de désaffectation que si vous avez l'intention de cesser d'utiliser la zone de destination concernée. Il n'est pas possible de recréer la zone de destination après la désaffectation.

Tâches de nettoyage manuelles requises après la mise hors service

  • Si vous créez une autre zone de destination après en avoir désaffecté une, vous devez spécifier des adresses e-mail différentes pour les comptes de journalisation et d'audit.

  • Dans la CloudWatch Groupe de journaux,aws-controltower/CloudTrailLogs, doivent être supprimés manuellement avant de configurer une autre landing zone.

  • Les deux compartiments Amazon S3 avec des noms réservés pour les journaux doivent être supprimés ou renommés manuellement.

  • Vous devez supprimer ou renommer l'existantSécuritéetEnvironnement de test pourunités organisationnelles manuellement.

    Note

    Avant de pouvoir supprimer l'AWS Control TowerUO de sécuritéorganisation, vous devez d'abord supprimer les comptes de journalisation et d'audit, mais pas le compte de gestion. Pour supprimer ces comptes, vous devez Quand se connecter en tant qu'utilisateur root au compte d'audit et au compte de journalisation, puis les supprimer manuellement.

  • Vous souhaiterez peut-être supprimer leAWS IAM Identity Center (successor to AWS Single Sign-On)(IAM Identity Center) pour AWS Control Tower manuellement, mais vous pouvez poursuivre avec la configuration IAM Identity Center existante.

  • Vous pouvez supprimer le VPC créé par AWS Control Tower et supprimer l'AWS associé CloudFormation ensemble de piles.

  • Avant de pouvoir configurer une landing zone pour la AWS Control Tower dans une autre région d'origine, vous devez également exécuter la commande `aws organizations disable-aws-service-access—service-principalcontroltower.amazonaws.com `.