Procedura dettagliata: smantellamento di una AWS Control Tower Landing Zone - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Procedura dettagliata: smantellamento di una AWS Control Tower Landing Zone

AWS Control Tower ti consente di configurare e gestire AWS ambienti sicuri con più account, noti come landing zone. Il processo di pulizia di tutte le risorse allocate da AWS Control Tower viene definito decommissioning di una landing zone.

Se non desideri più utilizzare AWS Control Tower, lo strumento di smantellamento automatico pulisce le risorse allocate da AWS Control Tower. Per iniziare il processo di disattivazione automatica, vai alla pagina Impostazioni della zona di atterraggio, seleziona la scheda Disattivazione e scegli Decommission landing zone.

Per un elenco delle azioni eseguite durante la disattivazione, consulta. Panoramica del processo di smantellamento

avvertimento

L'eliminazione manuale di tutte le risorse AWS Control Tower non equivale alla disattivazione. Non ti permetterà di creare una nuova landing zone.

I tuoi dati e quelli esistenti non AWS Organizations vengono modificati dal processo di smantellamento, nei seguenti modi.

  • AWS Control Tower non rimuove i dati, ma rimuove solo parti della landing zone creata.

  • Una volta completato il processo di smantellamento, rimangono alcuni artefatti di risorse, come i bucket Amazon S3 e i gruppi di log Amazon Logs. CloudWatch Queste risorse devono essere eliminate manualmente prima di impostare un'altra landing zone e per evitare possibili costi associati alla gestione di determinate risorse.

  • Non è possibile utilizzare la disattivazione automatica per rimuovere una landing zone parzialmente configurata. Se il processo di configurazione della landing zone non riesce, è necessario risolvere lo stato di errore e configurarla fino in fondo per rendere possibile la disattivazione automatica oppure eliminare manualmente le risorse singolarmente.

La disattivazione di una landing zone è un processo con conseguenze significative e non può essere annullata. Le azioni di smantellamento intraprese da AWS Control Tower e gli artefatti che rimangono dopo la disattivazione sono descritti nelle sezioni seguenti.

Importante

Si consiglia vivamente di eseguire questo processo di disattivazione solo se si intende interrompere l'utilizzo della landing zone. Non è possibile ricreare lalanding zone esistente dopo averla disattivata.

Attività di pulizia manuale necessarie dopo la disattivazione

  • È necessario specificare indirizzi e-mail diversi per gli account Log archive e Audit se si crea una nuova landing zone dopo la disattivazione di una, oppure si segue la procedura per aggiungere i propri account Log Archive o Audit esistenti.

  • Il gruppo CloudWatch Logs log,aws-controltower/CloudTrailLogs, deve essere eliminato manualmente prima di configurare un'altra landing zone.

  • I due bucket Amazon S3 con nomi riservati per i log devono essere rimossi o rinominati manualmente.

  • È necessario eliminare o rinominare manualmente le unità organizzative Security e Sandbox esistenti.

    Nota

    Prima di poter eliminare l'organizzazione dell'unità organizzativa AWS Control Tower Security, è necessario eliminare gli account di registrazione e controllo, ma non l'account di gestione. Per eliminare questi account, è necessario Quando accedere come utente root all'account di controllo e all'account di registrazione ed eliminarli singolarmente.

  • Potresti voler eliminare manualmente la configurazione AWS IAM Identity Center (IAM Identity Center) per AWS Control Tower, ma puoi procedere con la configurazione IAM Identity Center esistente.

  • Potresti voler rimuovere il VPC creato da AWS Control Tower e rimuovere il set di CloudFormation stack AWS associato.

  • Prima di poter configurare una nuova landing zone in una nuova AWS regione, devi seguire questi passaggi aggiuntivi.

    • Immettete il seguente comando tramite la CLI:

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

    • Elimina la regola gestita rimanente, chiamataAWSControlTowerManagedRule, dagli account condivisi e membri per tutte le regioni governate. AWSControlTowerManagedRuleè una EventBridge regola di Amazon.