Pengaturan setelah menonaktifkan landing zone - AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengaturan setelah menonaktifkan landing zone

Setelah Anda menonaktifkan landing zone Anda, Anda tidak dapat berhasil menjalankan setup lagi sampai pembersihan manual selesai. Selain itu, tanpa pembersihan manual dari sumber daya yang tersisa ini, Anda mungkin dikenakan biaya penagihan yang tidak terduga. Anda harus memperhatikan masalah ini:

  • Akun manajemen AWS Control Tower adalah bagian dari AWS Control Tower Root OU. Pastikan peran IAM dan kebijakan IAM ini dihapus dari akun manajemen:

    • Peran:

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Kebijakan:

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Anda mungkin ingin menghapus atau memperbarui konfigurasi IAM Identity Center yang ada untuk AWS Control Tower sebelum Anda menaikkan landing zone lagi, tetapi Anda tidak perlu menghapusnya.

  • Anda mungkin ingin menghapus VPC yang dibuat oleh AWS Control Tower.

  • Penyiapan gagal jika alamat email yang ditentukan untuk akun pencatatan atau audit dikaitkan dengan AWS akun yang ada. Anda dapat menutup AWS akun, atau menggunakan alamat email yang berbeda untuk mengatur landing zone lagi. Atau, Anda dapat menggunakan kembali akun bersama yang ada ini, dengan fitur yang memungkinkan Anda untuk membawa akun logging dan audit Anda sendiri. Untuk informasi selengkapnya, lihat Pertimbangan untuk membawa akun keamanan atau pencatatan yang ada.

  • Penyiapan gagal jika bucket Amazon S3 dengan nama cadangan berikut sudah ada di akun logging:

    • aws-controltower-logs-{accountId}-{region}(digunakan untuk ember logging).

    • aws-controltower-s3-access-logs-{accountId}-{region}(digunakan untuk bucket akses logging).

    Anda harus mengganti nama atau menghapus bucket ini, atau menggunakan akun lain untuk akun logging.

  • Pengaturan gagal jika akun manajemen memiliki grup log yang ada,aws-controltower/CloudTrailLogs, di CloudWatch Log. Anda harus mengganti nama atau menghapus grup log.

Sebelum Anda mengatur di yang baru Wilayah AWS

Jika Anda berniat untuk membuat landing zone baru di AWS Wilayah baru, ikuti langkah-langkah tambahan ini.

  • Masukkan perintah berikut melalui CLI:

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

  • Hapus aturan terkelola yang tersisaAWSControlTowerManagedRule, dipanggil, dari akun bersama dan anggota untuk semua Wilayah yang diatur.

catatan

Anda tidak dapat menyiapkan landing zone baru di organisasi dengan OU tingkat atas bernama Security atau Sandbox. Anda harus mengganti nama atau menghapus OU ini untuk mengatur landing zone lagi.