Procédure pas à pas : mettre hors service une zone d'atterrissage de la tour de contrôle AWS - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Procédure pas à pas : mettre hors service une zone d'atterrissage de la tour de contrôle AWS

AWS Control Tower vous permet de configurer et de gérer plusieurs comptes sécurisésAWSenvironnements, appelés zones d'atterrissage. Le processus de nettoyage de toutes les ressources allouées par AWS Control Tower est appelédésaffectationune zone d'atterrissage.

Si vous ne souhaitez plus utiliser AWS Control Tower, l'outil de mise hors service automatique nettoie les ressources allouées par AWS Control Tower. Pour commencer le processus de mise hors service automatique, accédez auParamètres de la zone d'atterrissagepage, sélectionnez l'onglet de mise hors service et choisissezZone d'atterrissage de mise hors service.

Pour obtenir la liste des actions effectuées lors de la mise hors service, voirVue d'ensemble du processus de démantèlement.

Avertissement

La suppression manuelle de toutes vos ressources AWS Control Tower n'est pas la même chose que la mise hors service. Cela ne vous permettra pas de configurer une nouvelle zone d'atterrissage.

Vos données et vos organisations AWS Organizations existantes ne sont pas modifiées par le processus de désaffectation, comme indiqué ci-dessous.

  • AWS Control Tower ne supprime pas vos données. Il supprime uniquement les parties de la zone de destination qu'il a créée.

  • Une fois le processus de mise hors service terminé, quelques artefacts de ressources subsistent, tels que les compartiments Amazon S3 et AmazonCloudWatchConsigne les groupes de journaux. Ces ressources doivent être supprimées manuellement avant de configurer une autre zone de destination et pour éviter les coûts éventuels associés à la gestion de certaines ressources.

  • Vous ne pouvez pas utiliser la désaffectation automatique pour supprimer une zone de destination partiellement configurée. Si le processus de configuration de votre zone de destination échoue, vous devez résoudre l'état d’échec et le configurer jusqu’au bout pour rendre possible la désaffectation automatique, ou vous devez supprimer manuellement les ressources individuellement.

La désaffectation d'une zone de destination entraîne des modifications significatives et ne peut pas être annulé. Les mesures de mise hors service prises par AWS Control Tower et les artefacts qui subsistent après la mise hors service sont décrits dans les sections suivantes.

Important

Nous vous recommandons fortement de n'effectuer ce processus de désaffectation que si vous avez l'intention de cesser d'utiliser la zone de destination concernée. Il n'est pas possible de recréer la zone de destination après la désaffectation.

Tâches de nettoyage manuelles requises après la mise hors service

  • Vous devez spécifier des adresses e-mail différentes pour les comptes d'archivage des journaux et d'audit si vous créez une nouvelle zone de destination après en avoir mis une hors service, ou si vous suivez la procédure pour importer vos propres comptes d'archive de journaux ou d'audit existants.

  • LeCloudWatchLogs, groupe de journaux,aws-controltower/CloudTrailLogs, doit être supprimé manuellement avant de configurer une autre zone d'atterrissage.

  • Les deux compartiments Amazon S3 avec des noms réservés pour les journaux doivent être supprimés ou renommés manuellement.

  • Vous devez supprimer ou renommer l'existantSécuritéetBac à sableunités organisationnelles manuellement.

    Note

    Avant de pouvoir supprimer la tour de contrôle AWSUO de sécuritéorganisation, vous devez d'abord supprimer les comptes de journalisation et d'audit, mais pas le compte de gestion. Pour supprimer ces comptes, vous devez Quand se connecter en tant qu'utilisateur root au compte d'audit et au compte de journalisation, puis les supprimer manuellement.

  • Vous souhaiterez peut-être supprimer leAWS IAM Identity Center(IAM Identity Center) pour AWS Control Tower est configuré manuellement, mais vous pouvez continuer avec la configuration existante du centre d'identité IAM.

  • Vous souhaiterez peut-être supprimer le VPC créé par AWS Control Tower et supprimer l'AWS associéCloudFormationset de piles.

  • Avant de pouvoir configurer une nouvelle zone d'atterrissage dans un nouveauAWSRégion, vous devez suivre ces étapes supplémentaires.

    • Entrez la commande suivante via l'interface de ligne de commande :

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

    • Supprimer la règle gérée restante, appeléeAWSControlTowerManagedRule, dans des comptes partagés pour toutes les régions gouvernées.