Passo a passo: Descomissione uma zona de pouso da AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Passo a passo: Descomissione uma zona de pouso da AWS Control Tower

AWSO Control Tower permite que você configure e administre AWS ambientes seguros de várias contas, conhecidos como zonas de pouso. O processo de limpeza de todos os recursos alocados pela AWS Control Tower é chamado de descomissionamento de uma landing zone.

Se você não quiser mais usar a AWS Control Tower, a ferramenta de descomissionamento automatizado limpa os recursos alocados pela Control Tower. AWS Para iniciar o processo de desativação automática, acesse a página Configurações de zona inicial, selecione a guia de desativação e escolha Desativar zona de pouso.

Consulte uma lista completa das ações executadas durante a desativação em Visão geral do processo de desativação.

Atenção

Excluir manualmente todos os recursos da AWS Control Tower não é o mesmo que descomissionar. Isso não permitirá que você configure uma nova zona de pouso.

Seus dados e os existentes não AWS Organizations são alterados pelo processo de descomissionamento, das seguintes maneiras.

  • AWSO Control Tower não remove seus dados, apenas remove partes da landing zone que ele criou.

  • Após a conclusão do processo de desativação, alguns artefatos de recursos permanecem, como buckets do Amazon S3 e grupos de log do Amazon Logs. CloudWatch Esses recursos devem ser excluídos manualmente antes da configuração de outra zona de destino para evitar possíveis custos associados à manutenção de determinados recursos.

  • Você não pode usar a desativação automatizada para remover uma zona de destino parcialmente configurada. Se ocorrer uma falha no processo de configuração da zona de destino, você poderá resolver o estado de falha e configurá-lo até o fim para tornar possível a desativação automatizada ou será necessário excluir os recursos individualmente de forma manual.

A desativação de uma zona de destino é um processo de consequências significativas e não pode ser desfeito. As ações de descomissionamento tomadas pela AWS Control Tower e os artefatos que permanecem após o descomissionamento estão descritos nas seções a seguir.

Importante

Recomendamos veementemente a realização deste processo de desativação exclusivamente se você pretende parar de usar a zona de destino. Não é possível recriar uma zona de destino existente depois de sua desativação.

Tarefas de limpeza manual necessárias após a desativação

  • Você deverá especificar endereços de e-mail diferentes para as contas de auditoria e de arquivamento de logs se criar uma zona de pouso após desativar uma, ou siga o procedimento para trazer suas próprias contas de auditoria e de arquivamento de logs.

  • O grupo de CloudWatch registros de registrosaws-controltower/CloudTrailLogs,, deve ser excluído manualmente antes de você configurar outra landing zone.

  • Os dois buckets do Amazon S3 com nomes reservados para logs devem ser removidos ou renomeados manualmente.

  • Você deve excluir ou renomear manualmente as unidades organizacionais de Segurança e Sandbox existentes.

    nota

    Antes de excluir a organização da OU AWS Control Tower Security, você deve primeiro excluir as contas de registro e auditoria, mas não a conta de gerenciamento. Para excluir essas contas, você deve Quando fazer login como usuário-raiz na conta de auditoria e na conta de registro e excluí-las individualmente.

  • Talvez você queira excluir manualmente a configuração AWS IAM Identity Center (IAMIdentity Center) do AWS Control Tower, mas você pode continuar com a configuração existente do IAM Identity Center.

  • Talvez você queira remover o VPC criado pelo AWS Control Tower e remover o conjunto de AWS CloudFormation pilhas associado.

  • Antes de configurar um novo landing zone em uma nova AWS região, você deve seguir estas etapas adicionais.

    • Digite o seguinte comando por meio doCLI:

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

    • Exclua a regra gerenciada restante, chamadaAWSControlTowerManagedRule, das contas compartilhadas e membros de todas as regiões governadas. AWSControlTowerManagedRuleé uma EventBridge regra da Amazon.