Configuration après la mise hors service d'une zone d'atterrissage - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration après la mise hors service d'une zone d'atterrissage

Une fois que vous avez désaffecté une zone de destination, vous ne pouvez pas réexécuter de configuration tant que le nettoyage manuel n'est pas terminé. En outre, sans nettoyage manuel de ces ressources restantes, vous risquez de devoir payer des frais de facturation imprévus. Gardez bien à l'esprit les points suivants :

  • Le compte de gestion AWS Control Tower fait partie de l'unité d'organisation racine d'AWS Control Tower. Assurez-vous que les rôles IAM et les politiques IAM suivants sont supprimés du compte de gestion :

    • Rôles :

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Stratégies :

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Vous souhaiterez peut-être supprimer ou mettre à jour la configuration existante de l'IAM Identity Center pour AWS Control Tower avant de créer à nouveau une zone de landing zone, mais il n'est pas obligatoire de la supprimer.

  • Vous souhaiterez peut-être supprimer le VPC créé par AWS Control Tower.

  • L'installation échoue si les adresses e-mail spécifiées pour les comptes de journalisation ou d'audit sont associées à un AWS compte existant. Vous pouvez fermer les AWS comptes ou utiliser des adresses e-mail différentes pour configurer à nouveau une zone de landing zone. Vous pouvez également réutiliser ces comptes partagés existants, avec la fonctionnalité qui vous permet d'apporter vos propres comptes de journalisation et d'audit. Pour plus d’informations, consultez Considérations relatives à l'ajout de comptes de sécurité ou de journalisation existants.

  • L'installation échoue si des compartiments Amazon S3 portant les noms réservés suivants existent déjà dans le compte de journalisation :

    • aws-controltower-logs-{accountId}-{region} ( utilisé pour le compartiment de journalisation).

    • aws-controltower-s3-access-logs-{accountId}-{region} ( utilisé pour le compartiment d'accès à la journalisation).

    Vous devez renommer ou supprimer ces compartiments, ou utiliser un autre compte de journalisation.

  • L'installation échoue si le compte de gestion possède le groupe de journaux existant dans CloudWatch Logs. aws-controltower/CloudTrailLogs Vous devez renommer ou supprimer le groupe de journaux.

Avant de procéder à la configuration d'un nouveau Région AWS

Si vous avez l'intention de configurer une nouvelle zone de landing zone dans une nouvelle AWS région, suivez ces étapes supplémentaires.

  • Entrez la commande suivante via la CLI :

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

  • Supprimez la règle gérée restante, appeléeAWSControlTowerManagedRule, des comptes partagés et des comptes membres pour toutes les régions gouvernées.

Note

Vous ne pouvez pas configurer de nouvelle zone de landing zone dans une organisation dotée d'unités d'organisation de haut niveau nommées Security ou Sandbox. Vous devez renommer ou supprimer ces UO pour reconfigurer une zone de destination.