Configuration après la mise hors service d'une zone d'atterrissage - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration après la mise hors service d'une zone d'atterrissage

Une fois que vous avez désaffecté une zone de destination, vous ne pouvez pas réexécuter de configuration tant que le nettoyage manuel n'est pas terminé. En outre, sans nettoyage manuel de ces ressources restantes, vous risquez de devoir payer des frais de facturation imprévus. Gardez bien à l'esprit les points suivants :

  • Le compte de gestion AWS Control Tower fait partie de l'unité d'AWSorganisation Control Tower Root. Assurez-vous que les IAM rôles et IAM politiques suivants sont supprimés du compte de gestion :

    • Rôles :

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Stratégies :

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Vous souhaiterez peut-être supprimer ou mettre à jour la configuration IAM Identity Center existante pour AWS Control Tower avant de créer à nouveau une zone d'atterrissage, mais il n'est pas obligatoire de la supprimer.

  • Vous souhaiterez peut-être supprimer le VPC créé par AWS Control Tower.

  • L'installation échoue si les adresses e-mail spécifiées pour les comptes de journalisation ou d'audit sont associées à un AWS compte existant. Vous pouvez fermer les AWS comptes ou utiliser des adresses e-mail différentes pour configurer à nouveau une zone de landing zone. Vous pouvez également réutiliser ces comptes partagés existants, avec la fonctionnalité qui vous permet d'apporter vos propres comptes de journalisation et d'audit. Pour de plus amples informations, veuillez consulter Considérations relatives à l'ajout de comptes de sécurité ou de journalisation existants.

  • L'installation échoue si des compartiments Amazon S3 portant les noms réservés suivants existent déjà dans le compte de journalisation :

    • aws-controltower-logs-{accountId}-{region} ( utilisé pour le compartiment de journalisation).

    • aws-controltower-s3-access-logs-{accountId}-{region} ( utilisé pour le compartiment d'accès à la journalisation).

    Vous devez renommer ou supprimer ces compartiments, ou utiliser un autre compte de journalisation.

  • L'installation échoue si le compte de gestion possède le groupe de journaux existant dans CloudWatch Logs. aws-controltower/CloudTrailLogs Vous devez renommer ou supprimer le groupe de journaux.

Avant de procéder à la configuration d'un nouveau Région AWS

Si vous avez l'intention de configurer une nouvelle zone de landing zone dans une nouvelle AWS région, suivez ces étapes supplémentaires.

  • Entrez la commande suivante via CLI :

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

  • Supprimez la règle gérée restante, appeléeAWSControlTowerManagedRule, des comptes partagés et membres pour toutes les régions gouvernées.

Note

Vous ne pouvez pas configurer de nouvelle zone de landing zone dans une organisation dont le niveau supérieur OUs s'appelle Security ou Sandbox. Vous devez les renommer ou les supprimer OUs pour reconfigurer une zone d'atterrissage.