Passo a passo: Descomissione uma zona de pouso do AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Passo a passo: Descomissione uma zona de pouso do AWS Control Tower

O AWS Control Tower permite que você configure e administre AWS ambientes seguros de várias contas, conhecidos como zonas de pouso. O processo de limpeza de todos os recursos alocados pela AWS Control Tower é chamado de descomissionamento de uma landing zone.

Se você não quiser mais usar o AWS Control Tower, a ferramenta de descomissionamento automatizado limpa os recursos alocados pela AWS Control Tower. Para iniciar o processo de descomissionamento automatizado, navegue até a página Configurações da zona de pouso, selecione a guia de desativação e escolha Descomissionar zona de pouso.

Para obter uma lista das ações realizadas durante o descomissionamento, consulte. Visão geral do processo de descomissionamento

Atenção

Excluir manualmente todos os seus recursos do AWS Control Tower não é o mesmo que descomissionar. Isso não permitirá que você configure uma nova landing zone.

Seus dados e os existentes não AWS Organizations são alterados pelo processo de descomissionamento, das seguintes maneiras.

  • O AWS Control Tower não remove seus dados, apenas partes da zona de destino que é criada.

  • Após a conclusão do processo de desativação, alguns artefatos de recursos permanecem, como buckets do Amazon S3 e grupos de log do Amazon Logs. CloudWatch Esses recursos devem ser excluídos manualmente antes da configuração de outra zona de destino para evitar possíveis custos associados à manutenção de determinados recursos.

  • Você não pode usar a desativação automatizada para remover uma zona de destino parcialmente configurada. Se ocorrer uma falha no processo de configuração da zona de destino, você poderá resolver o estado de falha e configurá-lo até o fim para tornar possível a desativação automatizada ou será necessário excluir os recursos individualmente de forma manual.

A desativação de uma zona de destino é um processo de consequências significativas e não pode ser desfeito. As ações de descomissionamento tomadas pelo AWS Control Tower e os artefatos que permanecem após o descomissionamento estão descritos nas seções a seguir.

Importante

Recomendamos veementemente a realização deste processo de desativação exclusivamente se você pretende parar de usar a zona de destino. Não é possível recriar uma zona de destino existente depois de sua desativação.

Tarefas de limpeza manual necessárias após o descomissionamento

  • Você deve especificar endereços de e-mail diferentes para o arquivo de log e as contas de auditoria se criar uma nova landing zone após descomissionar uma, ou seguir o procedimento para trazer seu próprio arquivo de log ou contas de auditoria existentes.

  • O grupo de CloudWatch registros de registrosaws-controltower/CloudTrailLogs,, deve ser excluído manualmente antes de você configurar outra landing zone.

  • Os dois buckets do Amazon S3 com nomes reservados para registros devem ser removidos ou renomeados manualmente.

  • Você deve excluir ou renomear manualmente as unidades organizacionais de Segurança e Sandbox existentes.

    nota

    Antes de excluir a organização OU do AWS Control Tower Security, você deve primeiro excluir as contas de registro e auditoria, mas não a conta de gerenciamento. Para excluir essas contas, você deve Quando fazer login como usuário root na conta de auditoria e na conta de registro e excluí-las individualmente.

  • Talvez você queira excluir manualmente a configuração AWS IAM Identity Center (do IAM Identity Center) do AWS Control Tower, mas você pode continuar com a configuração atual do IAM Identity Center.

  • Talvez você queira remover a VPC criada pela AWS Control Tower e remover o conjunto de CloudFormation pilhas da AWS associado.

  • Antes de configurar um novo landing zone em uma nova AWS região, você deve seguir estas etapas adicionais.

    • Digite o seguinte comando por meio da CLI:

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

    • Exclua a regra gerenciada restante, chamadaAWSControlTowerManagedRule, das contas compartilhadas e membros de todas as regiões governadas. AWSControlTowerManagedRuleé uma EventBridge regra da Amazon.