landing zone 해체 후 설정 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

landing zone 해체 후 설정

랜딩 영역을 폐기한 후에는 수동 정리가 완료될 때까지 설정을 다시 실행할 수 없습니다. 또한 남아 있는 리소스를 수동으로 정리하지 않으면 예기치 않은 결제 요금이 발생할 수 있습니다. 다음 사항에 유의해야 합니다.

  • AWS Control Tower 관리 계정은 AWS Control Tower 타워의 일부입니다.루트 OU. 다음 IAM 역할 및 IAM 정책이 관리 계정에서 제거되었는지 확인합니다.

    • 역할:

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • 정책:

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • 기존 항목을 삭제하거나 업데이트할 수 있습니다.AWS SSOlanding zone 다시 설정하기 전에 AWS Control Tower 를 구성할 수 있지만 삭제할 필요는 없습니다.

  • AWS Control Tower Tower에서 생성한 VPC 제거할 수 있습니다.

  • 로깅 또는 감사 계정에 지정된 이메일 주소가 기존 AWS 계정과 연결되어 있으면 설정이 실패합니다. 해당 AWS 계정을 해지하거나 다른 이메일 주소를 사용하여 랜딩 영역을 다시 설정해야 합니다.

  • 로깅 계정에 다음과 같은 예약 이름을 가진 S3 버킷이 이미 있는 경우 설정이 실패합니다.

    • aws-controltower-logs-{accountId}-{region}(로깅 버킷에 사용)

    • aws-controltower-s3-access-logs-{accountId}-{region}( 로깅 액세스 버킷에 사용)

    이러한 버킷의 이름을 변경하거나 이러한 버킷을 제거하거나 로깅 계정에 다른 계정을 사용해야 합니다.

  • 관리 계정에 기존 로그 그룹이 있으면 설치가 실패합니다.aws-controltower/CloudTrailLogs, inCloudWatch로그. 로그 그룹의 이름을 변경하거나 로그 그룹을 제거해야 합니다.

새 AWS 리전에 새 landing zone 존을 설정하려는 경우 이 추가 단계를 따르십시오. CLI를 통해 다음 명령을 입력합니다.

aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
참고

최상위 수준 OU가 있는 조직에서는 새 landing zone 설정할 수 없습니다.보안또는샌드박스. 랜딩 영역을 다시 설정하려면 이러한 OU의 이름을 바꾸거나 OU를 제거해야 합니다.