Configuration après la mise hors service d'une landing zone - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration après la mise hors service d'une landing zone

Une fois que vous avez désaffecté une zone de destination, vous ne pouvez pas réexécuter de configuration tant que le nettoyage manuel n'est pas terminé. En outre, sans nettoyage manuel de ces ressources restantes, vous risquez de devoir payer des frais de facturation imprévus. Gardez bien à l'esprit les points suivants :

  • Le compte de gestion de la AWS Control Tower fait partie de l'AWS Control Tower.UO racine. Assurez-vous que les rôles IAM et les politiques IAM suivants sont supprimés du compte de gestion :

    • Rôles :

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Stratégies :

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Vous pouvez supprimer ou mettre à jour la configuration existante d'IAM Identity Center pour AWS Control Tower avant de remonter une landing zone, mais il n'est pas nécessaire de la supprimer.

  • Vous pouvez supprimer le VPC créé par AWS Control Tower.

  • La configuration échoue si les adresses e-mail spécifiées pour les comptes de journalisation ou d'audit sont associées à unAWSCompte. Vous pouvez fermer leAWScomptes, ou utilisez différentes adresses e-mail pour configurer à nouveau une landing zone. Vous pouvez également réutiliser ces comptes partagés existants, avec la fonctionnalité qui vous permet d'apporter vos propres comptes de journalisation et d'audit. Pour plus d'informations, consultez Considérations relatives à l'intégration de comptes de sécurité ou d'enregistrement.

  • L'installation échoue si des compartiments Amazon S3 portant les noms réservés suivants existent déjà dans le compte de journalisation :

    • aws-controltower-logs-{accountId}-{region} ( utilisé pour le compartiment de journalisation).

    • aws-controltower-s3-access-logs-{accountId}-{region} ( utilisé pour le compartiment d'accès à la journalisation).

    Vous devez renommer ou supprimer ces compartiments, ou utiliser un autre compte de journalisation.

  • La configuration échoue si le compte de gestion possède le groupe de journaux existant,aws-controltower/CloudTrailLogs, dans CloudWatch Journaux. Vous devez renommer ou supprimer le groupe de journaux.

Si vous avez l'intention de créer une nouvelle landing zone dans une nouvelleAWSRégion, suivez cette étape supplémentaire. Entrez la commande suivante via l'interface de ligne de commande :

aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
Note

Vous ne pouvez pas configurer une nouvelle landing zone dans une organisation avec des unités d'organisation de niveau supérieur nomméesSécuritéouEnvironnement de test pour. Vous devez renommer ou supprimer ces UO pour reconfigurer une zone de destination.