Panduan: Menonaktifkan Zona Pendaratan AWS Control Tower

AWS Control Tower memungkinkan Anda mengatur dan mengatur AWS lingkungan multi-akun yang aman, yang dikenal sebagai zona pendaratan. Proses pembersihan semua sumber daya yang dialokasikan oleh AWS Control Tower disebut sebagai penonaktifan landing zone.

Jika Anda tidak lagi ingin menggunakan AWS Control Tower, alat penonaktifan otomatis membersihkan sumber daya yang dialokasikan oleh AWS Control Tower. Untuk memulai proses penonaktifan otomatis, navigasikan ke halaman Pengaturan Zona Landing, pilih tab dekomisi, dan pilih Decommission landing zone.

Untuk daftar tindakan yang dilakukan selama penonaktifan, lihat. Ikhtisar proses penonaktifan

Awas

Menghapus semua sumber daya AWS Control Tower secara manual tidak sama dengan penonaktifan. Ini tidak akan memungkinkan Anda untuk mengatur landing zone baru.

Data Anda dan data Anda yang AWS Organizations ada tidak diubah oleh proses penonaktifan, dengan cara berikut.

• AWS Control Tower tidak menghapus data Anda, hanya menghapus bagian dari landing zone yang dibuatnya.

• Setelah proses penonaktifan selesai, beberapa artefak sumber daya tetap ada, seperti bucket Amazon S3 dan grup log Amazon Logs. CloudWatch Sumber daya ini harus dihapus secara manual sebelum Anda mengatur landing zone lain, dan untuk menghindari kemungkinan biaya yang terkait dengan pemeliharaan sumber daya tertentu.

• Anda tidak dapat menggunakan penonaktifan otomatis untuk menghapus landing zone yang telah diatur sebagian. Jika proses penyiapan landing zone Anda gagal, Anda harus menyelesaikan status kegagalan dan mengaturnya sepenuhnya untuk memungkinkan penonaktifan otomatis, atau Anda harus menghapus sumber daya secara manual satu per satu.

Menonaktifkan landing zone adalah proses dengan konsekuensi yang signifikan, dan tidak dapat dibatalkan. Tindakan penonaktifan yang dilakukan oleh AWS Control Tower dan artefak yang tersisa setelah penonaktifan dijelaskan di bagian berikut.

penting

Kami sangat menyarankan agar Anda melakukan proses dekomisioning ini hanya jika Anda berniat untuk berhenti menggunakan landing zone Anda. Tidak mungkin untuk membuat kembali landing zone yang ada setelah Anda menonaktifkannya.

Tugas pembersihan manual diperlukan setelah dinonaktifkan

• Anda harus menentukan alamat email yang berbeda untuk arsip Log dan akun Audit jika Anda membuat landing zone baru setelah menonaktifkannya, atau mengikuti prosedur untuk membawa arsip Log atau akun Audit Anda sendiri yang ada.

• Grup CloudWatch log log,aws-controltower/CloudTrailLogs, harus dihapus secara manual sebelum Anda mengatur landing zone lain.

• Dua bucket Amazon S3 dengan nama yang dicadangkan untuk log harus dihapus, atau diganti namanya, secara manual.

• Anda harus menghapus, atau mengganti nama, unit organisasi Security dan Sandbox yang ada secara manual.

  catatan

  Sebelum Anda dapat menghapus organisasi AWS Control Tower Security OU, Anda harus terlebih dahulu menghapus akun logging dan audit, tetapi bukan akun manajemen. Untuk menghapus akun ini, Anda harus Kapan harus masuk sebagai pengguna root ke akun audit dan ke akun logging dan menghapusnya satu per satu.

• Anda mungkin ingin menghapus konfigurasi AWS IAM Identity Center (IAM Identity Center) untuk AWS Control Tower secara manual, tetapi Anda dapat melanjutkan dengan konfigurasi IAM Identity Center yang ada.

• Anda mungkin ingin menghapus VPC yang dibuat oleh AWS Control Tower, dan menghapus set CloudFormation tumpukan AWS terkait.

• Sebelum Anda dapat mengatur landing zone baru di AWS Wilayah baru, Anda harus mengikuti langkah-langkah tambahan ini.

  • Masukkan perintah berikut melalui CLI:

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
    

  • Hapus aturan terkelola yang tersisaAWSControlTowerManagedRule, yang dipanggil, dari akun bersama dan anggota untuk semua Wilayah yang diatur. AWSControlTowerManagedRuleadalah EventBridge aturan Amazon.