Configurazione dopo la disattivazione di una landing zone - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dopo la disattivazione di una landing zone

Dopo aver disattivato la landing zone, non è possibile eseguire nuovamente l'installazione fino al completamento della pulizia manuale. Inoltre, senza la pulizia manuale di queste risorse rimanenti, è possibile che vengano addebitati costi di fatturazione imprevisti. È necessario occuparsi di questi problemi:

  • L'account di gestione AWS Control Tower fa parte dell'unità organizzativa AWS Control Tower Root. Assicurati che questi ruoli IAM e le policy IAM vengano rimossi dall'account di gestione:

    • Ruoli:

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Policy:

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Potresti voler eliminare o aggiornare la configurazione esistente di IAM Identity Center per AWS Control Tower prima di configurare nuovamente una landing zone, ma non è necessario eliminarla.

  • Potresti voler rimuovere il VPC creato da AWS Control Tower.

  • La configurazione fallisce se gli indirizzi e-mail specificati per gli account di registrazione o di controllo sono associati a un account esistente AWS . Puoi chiudere gli AWS account o utilizzare indirizzi e-mail diversi per configurare nuovamente una landing zone. In alternativa, puoi riutilizzare questi account condivisi esistenti, con la funzione che ti consente di creare i tuoi account di registrazione e controllo. Per ulteriori informazioni, consulta Considerazioni sull'utilizzo degli account di sicurezza o di registrazione esistenti.

  • L'installazione non riesce se nell'account di registrazione sono già presenti bucket Amazon S3 con i seguenti nomi riservati:

    • aws-controltower-logs-{accountId}-{region} ( utilizzato per il bucket di registrazione).

    • aws-controltower-s3-access-logs-{accountId}-{region} ( utilizzato per il bucket di accesso alla registrazione).

    È necessario rinominare o rimuovere questi bucket oppure utilizzare un account diverso per l'account di registrazione.

  • L'installazione fallisce se l'account di gestione ha il gruppo di log esistente,aws-controltower/CloudTrailLogs, in Logs. CloudWatch È necessario rinominare o rimuovere il gruppo di log.

Prima di eseguire la configurazione in un nuovo Regione AWS

Se intendi configurare una nuova landing zone in una nuova AWS regione, segui questi passaggi aggiuntivi.

  • Immettete il seguente comando tramite la CLI:

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

  • Elimina la regola gestita rimanente, chiamataAWSControlTowerManagedRule, dagli account condivisi e membri per tutte le regioni governate.

Nota

Non è possibile configurare una nuova landing zone in un'organizzazione con un livello superiore OUs denominato Security o Sandbox. È necessario rinominarli o rimuoverli OUs per configurare nuovamente una landing zone.