Passo a passo Desativar uma landing zone - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Passo a passo Desativar uma landing zone

A AWS Control Tower permite configurar e administrar ambientes seguros da AWS com várias contas, conhecidos como zonas de destino. O processo de limpeza de todos os recursos alocados pela AWS Control Tower é chamado dedesmantelamentouma landing zone.

Se você não quiser mais usar a AWS Control Tower, a ferramenta de desativação automatizada limpa os recursos alocados pela AWS Control Tower. Para iniciar o processo de desativação automatizado, navegue até oConfigurações da zona de destino, selecione a guia de desativação e escolhalanding zone de desativação.

Para obter uma lista das ações executadas durante a desativação, consulteVisão geral do processo de desativação.

Atenção

Excluir manualmente todos os recursos da AWS Control Tower não é o mesmo que descomissionamento. Isso não permitirá que você configure uma nova landing zone.

Os dados e AWS Organizations existentes não são alterados pelo processo de desativação, das seguintes maneiras.

  • O AWS Control Tower não remove seus dados, apenas partes da zona de destino que é criada.

  • Após a conclusão do processo de desativação, alguns artefatos de recursos permanecem, como buckets do S3 e grupos de log do Amazon CloudWatch Logs. Esses recursos devem ser excluídos manualmente antes da configuração de outra zona de destino para evitar possíveis custos associados à manutenção de determinados recursos.

  • Você não pode usar a desativação automatizada para remover uma zona de destino parcialmente configurada. Se ocorrer uma falha no processo de configuração da zona de destino, você poderá resolver o estado de falha e configurá-lo até o fim para tornar possível a desativação automatizada ou será necessário excluir os recursos individualmente de forma manual.

A desativação de uma zona de destino é um processo de consequências significativas e não pode ser desfeito. As ações de desativação tomadas pela AWS Control Tower e os artefatos que permanecem após a desativação são descritos nas seções a seguir.

Importante

Recomendamos veementemente a realização deste processo de desativação exclusivamente se você pretende parar de usar a zona de destino. Não é possível recriar uma zona de destino existente depois de sua desativação.

Tarefas de limpeza manual necessárias após o desmantelamento

  • É necessário especificar endereços de e-mail diferentes para as contas de registro e auditoria caso você crie uma nova zona de destino após a desativação de uma delas.

  • O grupo de logs do CloudWatch Logsaws-controltower/CloudTrailLogsO deverá ser excluído manualmente antes de configurar outra landing zone.

  • Os dois buckets do S3 com nomes reservados para logs devem ser removidos ou renomeados manualmente.

  • Você deve excluir ou renomear aSegurançaeSandboxunidades organizacionais manualmente.

    nota

    Antes que você possa excluir a AWS Control TowerUO de segurança, você deve primeiro excluir as contas de log e auditoria, mas não a conta de gerenciamento. Para excluir essas contas, você deve Fazer login como um usuário raiz na conta de auditoria e na conta de registro e excluí-las individualmente.

  • Você pode querer excluir oAWS Single Sign-On(AWS SSO) para a AWS Control Tower manualmente, mas você pode continuar com a configuraçãoAWS SSOConfiguração do .

  • Você pode desejar remover a VPC criada pela AWS Control Tower e remover o conjunto de pilhas do AWS CloudFormation associado.

  • Antes de configurar uma landing zone da AWS Control Tower em uma região de origem diferente, você também deve executar o comando `aws organizations disable-aws-service-access —service-principal controltower.amazonaws.com`.