Attività di pulizia manuale necessarie dopo la disattivazione

Questa sezione elenca le attività di pulizia manuale da eseguire dopo la fase iniziale di smantellamento.

• È necessario specificare indirizzi e-mail diversi per gli account Log archive e Audit se si crea una nuova landing zone dopo la disattivazione di una, oppure si segue la procedura per aggiungere i propri account Log Archive o Audit esistenti.

• Il gruppo CloudWatch Logs log,aws-controltower/CloudTrailLogs, deve essere eliminato manualmente prima di configurare un'altra landing zone.

• I due bucket Amazon S3 con nomi riservati per i log devono essere rimossi o rinominati manualmente.

• È necessario eliminare o rinominare manualmente le unità organizzative Security e Sandbox esistenti.

  Nota

  Prima di poter eliminare l'organizzazione dell'unità organizzativa AWS Control Tower Security, è necessario eliminare gli account di registrazione e controllo, ma non l'account di gestione. Per eliminare questi account, è necessario Quando effettuare l'accesso come utente root all'account di controllo e all'account di registrazione ed eliminarli singolarmente.

• Potresti voler eliminare manualmente la configurazione AWS IAM Identity Center (IAM Identity Center) per AWS Control Tower, ma puoi procedere con la configurazione IAM Identity Center esistente.

• Potresti voler rimuovere il VPC creato da AWS Control Tower e rimuovere il set di AWS CloudFormation stack associato.

• Prima di poter configurare una nuova landing zone in una nuova AWS regione, devi seguire questi passaggi aggiuntivi.

  • Immettete il seguente comando tramite la CLI:

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
    

  • Elimina la regola gestita rimanente, chiamataAWSControlTowerManagedRule, dagli account condivisi e membri per tutte le regioni governate. AWSControlTowerManagedRuleè una EventBridge regola di Amazon.