Procédure pas à pas : mise hors service d'une zone d'atterrissage d'une AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Procédure pas à pas : mise hors service d'une zone d'atterrissage d'une AWS Control Tower

AWS Control Tower vous permet de configurer et de gérer des AWS environnements multi-comptes sécurisés, appelés zones d'atterrissage. Le processus de nettoyage de toutes les ressources allouées par AWS Control Tower est appelé mise hors service d'une zone d'atterrissage.

Si vous ne souhaitez plus utiliser AWS Control Tower, l'outil de mise hors service automatique nettoie les ressources allouées par AWS Control Tower. Pour démarrer le processus de mise hors service automatique, accédez à la page Paramètres de la zone d'atterrissage, sélectionnez l'onglet de mise hors service, puis choisissez Zone d'atterrissage de mise hors service.

Pour obtenir la liste des actions effectuées lors de la mise hors service, voir. Vue d'ensemble du processus de mise hors service

Avertissement

La suppression manuelle de toutes vos ressources AWS Control Tower n'est pas la même chose que la mise hors service. Cela ne vous permettra pas de configurer une nouvelle zone d'atterrissage.

Vos données et vos données existantes ne AWS Organizations sont pas modifiées par le processus de mise hors service, de la manière suivante.

  • AWS Control Tower ne supprime pas vos données. Il supprime uniquement les parties de la zone de destination qu'il a créée.

  • Une fois le processus de mise hors service terminé, il reste quelques artefacts de ressources, tels que les compartiments Amazon S3 et les groupes de CloudWatch journaux Amazon Logs. Ces ressources doivent être supprimées manuellement avant de configurer une autre zone de destination et pour éviter les coûts éventuels associés à la gestion de certaines ressources.

  • Vous ne pouvez pas utiliser la désaffectation automatique pour supprimer une zone de destination partiellement configurée. Si le processus de configuration de votre zone de destination échoue, vous devez résoudre l'état d’échec et le configurer jusqu’au bout pour rendre possible la désaffectation automatique, ou vous devez supprimer manuellement les ressources individuellement.

La désaffectation d'une zone de destination entraîne des modifications significatives et ne peut pas être annulé. Les mesures de mise hors service prises par AWS Control Tower et les artefacts qui restent après la mise hors service sont décrits dans les sections suivantes.

Important

Nous vous recommandons fortement de n'effectuer ce processus de désaffectation que si vous avez l'intention de cesser d'utiliser la zone de destination concernée. Il n'est pas possible de recréer la zone de destination après la désaffectation.

Tâches de nettoyage manuelles requises après la mise hors service

  • Vous devez spécifier des adresses e-mail différentes pour les comptes d'archive du journal et d'audit si vous créez une nouvelle zone d'atterrissage après en avoir mis hors service, ou suivez la procédure pour importer vos propres comptes d'archive de journal ou d'audit existants.

  • Le groupe de CloudWatch journaux Logs doit être supprimé manuellement avant de configurer une autre zone de landing zone. aws-controltower/CloudTrailLogs

  • Les deux compartiments Amazon S3 avec des noms réservés pour les journaux doivent être supprimés ou renommés manuellement.

  • Vous devez supprimer ou renommer manuellement les unités organisationnelles Security et Sandbox existantes.

    Note

    Avant de pouvoir supprimer l'organisation OU AWS Control Tower Security, vous devez d'abord supprimer les comptes de journalisation et d'audit, mais pas le compte de gestion. Pour supprimer ces comptes, vous devez Quand se connecter en tant qu'utilisateur root au compte d'audit et au compte de journalisation, puis les supprimer manuellement.

  • Vous souhaiterez peut-être supprimer manuellement la configuration AWS IAM Identity Center (IAM Identity Center) d'AWS Control Tower, mais vous pouvez continuer avec la configuration IAM Identity Center existante.

  • Vous souhaiterez peut-être supprimer le VPC créé par AWS Control Tower et supprimer le CloudFormation stack set AWS associé.

  • Avant de configurer une nouvelle zone de landing zone dans une nouvelle AWS région, vous devez suivre ces étapes supplémentaires.

    • Entrez la commande suivante via la CLI :

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

    • Supprimez la règle gérée restante, appeléeAWSControlTowerManagedRule, des comptes partagés et membres de toutes les régions gouvernées. AWSControlTowerManagedRuleest une EventBridge règle d'Amazon.