As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Passo a passo: Descomissione uma zona de pouso da AWS Control Tower
AWSO Control Tower permite que você configure e administre AWS ambientes seguros de várias contas, conhecidos como zonas de pouso. O processo de limpeza de todos os recursos alocados pela AWS Control Tower é chamado de descomissionamento de uma landing zone.
Se você não quiser mais usar a AWS Control Tower, a ferramenta de descomissionamento automatizado limpa os recursos alocados pela Control Tower. AWS Para iniciar o processo de desativação automática, acesse a página Configurações de zona inicial, selecione a guia de desativação e escolha Desativar zona de pouso.
Consulte uma lista completa das ações executadas durante a desativação em Visão geral do processo de desativação.
Atenção
Excluir manualmente todos os recursos da AWS Control Tower não é o mesmo que descomissionar. Isso não permitirá que você configure uma nova zona de pouso.
Seus dados e os existentes não AWS Organizations são alterados pelo processo de descomissionamento, das seguintes maneiras.
-
AWSO Control Tower não remove seus dados, apenas remove partes da landing zone que ele criou.
-
Após a conclusão do processo de desativação, alguns artefatos de recursos permanecem, como buckets do Amazon S3 e grupos de log do Amazon Logs. CloudWatch Esses recursos devem ser excluídos manualmente antes da configuração de outra zona de destino para evitar possíveis custos associados à manutenção de determinados recursos.
-
Você não pode usar a desativação automatizada para remover uma zona de destino parcialmente configurada. Se ocorrer uma falha no processo de configuração da zona de destino, você poderá resolver o estado de falha e configurá-lo até o fim para tornar possível a desativação automatizada ou será necessário excluir os recursos individualmente de forma manual.
A desativação de uma zona de destino é um processo de consequências significativas e não pode ser desfeito. As ações de descomissionamento tomadas pela AWS Control Tower e os artefatos que permanecem após o descomissionamento estão descritos nas seções a seguir.
Importante
Recomendamos veementemente a realização deste processo de desativação exclusivamente se você pretende parar de usar a zona de destino. Não é possível recriar uma zona de destino existente depois de sua desativação.
Tarefas de limpeza manual necessárias após a desativação
-
Você deverá especificar endereços de e-mail diferentes para as contas de auditoria e de arquivamento de logs se criar uma zona de pouso após desativar uma, ou siga o procedimento para trazer suas próprias contas de auditoria e de arquivamento de logs.
-
O grupo de CloudWatch registros de registros
aws-controltower/CloudTrailLogs
,, deve ser excluído manualmente antes de você configurar outra landing zone. -
Os dois buckets do Amazon S3 com nomes reservados para logs devem ser removidos ou renomeados manualmente.
-
Você deve excluir ou renomear manualmente as unidades organizacionais de Segurança e Sandbox existentes.
nota
Antes de excluir a organização da OU AWS Control Tower Security, você deve primeiro excluir as contas de registro e auditoria, mas não a conta de gerenciamento. Para excluir essas contas, você deve Quando fazer login como usuário-raiz na conta de auditoria e na conta de registro e excluí-las individualmente.
-
Talvez você queira excluir manualmente a configuração AWS IAM Identity Center (IAMIdentity Center) do AWS Control Tower, mas você pode continuar com a configuração existente do IAM Identity Center.
-
Talvez você queira remover o VPC criado pelo AWS Control Tower e remover o conjunto de AWS CloudFormation pilhas associado.
-
Antes de configurar um novo landing zone em uma nova AWS região, você deve seguir estas etapas adicionais.
-
Digite o seguinte comando por meio doCLI:
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
-
Exclua a regra gerenciada restante, chamada
AWSControlTowerManagedRule
, das contas compartilhadas e membros de todas as regiões governadas.AWSControlTowerManagedRule
é uma EventBridge regra da Amazon.
-