landing Zone을 해체한 후의 설정 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

landing Zone을 해체한 후의 설정

랜딩 영역을 폐기한 후에는 수동 정리가 완료될 때까지 설정을 다시 실행할 수 없습니다. 또한 남아 있는 리소스를 수동으로 정리하지 않으면 예기치 않은 결제 요금이 발생할 수 있습니다. 다음 사항에 유의해야 합니다.

  • AWS 컨트롤 타워 관리 계정은 AWS 컨트롤 타워 루트 OU의 일부입니다. 관리 계정에서 다음과 같은 IAM 역할 및 IAM 정책이 제거되었는지 확인하십시오.

    • 역할:

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • 정책:

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • 랜딩 존을 다시 시작하기 전에 AWS Control Tower의 기존 IAM Identity Center 구성을 삭제하거나 업데이트하고 싶을 수도 있지만 반드시 삭제할 필요는 없습니다.

  • AWS Control Tower에서 생성한 VPC를 제거하고 싶을 수도 있습니다.

  • 로깅 또는 감사 계정에 지정된 이메일 주소가 기존 AWS 계정과 연결된 경우 설치가 실패합니다. AWS 계정을 폐쇄하거나 다른 이메일 주소를 사용하여 랜딩 존을 다시 설정할 수 있습니다. 또는 자신의 로깅 및 감사 계정을 가져올 수 있는 기능을 사용하여 기존 공유 계정을 재사용할 수도 있습니다. 자세한 정보는 기존 보안 또는 로깅 계정을 가져올 때 고려할 사항을 참조하세요.

  • 다음과 같은 예약된 이름을 가진 Amazon S3 버킷이 로깅 계정에 이미 있는 경우 설치가 실패합니다.

    • aws-controltower-logs-{accountId}-{region}(로깅 버킷에 사용)

    • aws-controltower-s3-access-logs-{accountId}-{region}( 로깅 액세스 버킷에 사용)

    이러한 버킷의 이름을 변경하거나 이러한 버킷을 제거하거나 로깅 계정에 다른 계정을 사용해야 합니다.

  • 관리 계정에 CloudWatch Logs에 기존 로그 그룹인aws-controltower/CloudTrailLogs, 가 있는 경우 설치가 실패합니다. 로그 그룹의 이름을 변경하거나 로그 그룹을 제거해야 합니다.

새 계정을 설정하기 전 AWS 리전

새 AWS 지역에 새 착륙 지대를 설정하려면 다음 추가 단계를 따르세요.

  • CLI를 통해 다음 명령을 입력합니다.

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

  • 모든 관리 지역의 공유 및 멤버 계정에서 나머지 관리 규칙 (이라는AWSControlTowerManagedRule) 을 삭제합니다.

참고

Security 또는 Sandbox라는 최상위 OU가 있는 조직에서는 새 랜딩 존을 설정할 수 없습니다. 랜딩 영역을 다시 설정하려면 이러한 OU의 이름을 바꾸거나 OU를 제거해야 합니다.