Configuração após a desativação de uma zona de pouso - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração após a desativação de uma zona de pouso

Após desativar a zona de destino, não é possível executar a configuração com êxito novamente até que a limpeza manual esteja concluída. Além disso, sem a limpeza manual desses recursos restantes, você pode ter cobranças inesperadas. Você deve atentar-se às seguintes questões:

  • A conta de gerenciamento da AWS Control Tower faz parte da AWS Control Tower Root OU. Certifique-se de que essas IAM funções e IAM políticas sejam removidas da conta de gerenciamento:

    • Perfis:

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Políticas:

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Talvez você queira excluir ou atualizar a configuração existente do IAM Identity Center do AWS Control Tower antes de subir novamente em uma landing zone, mas não é necessário excluí-la.

  • Talvez você queira remover o VPC criado pela AWS Control Tower.

  • A configuração falhará se os endereços de e-mail especificados para as contas de registro ou auditoria estiverem associados a uma AWS conta existente. Você pode fechar as AWS contas ou usar endereços de e-mail diferentes para configurar uma landing zone novamente. Como alternativa, você pode reutilizar essas contas compartilhadas existentes, com o recurso que permite que trazer suas próprias contas de auditoria e de registro em log. Para obter mais informações, consulte Considerações sobre como trazer contas de segurança ou registro em log existentes.

  • A configuração falhará se os buckets do Amazon S3 com os seguintes nomes reservados já existirem na conta de registro em log:

    • aws-controltower-logs-{accountId}-{region} (usado para o bucket de registro).

    • aws-controltower-s3-access-logs-{accountId}-{region} (usado para o bucket de acesso de registro).

    Você deve renomear ou remover esses buckets, ou usar uma conta diferente para o registro.

  • A configuração falhará se a conta de gerenciamento tiver o grupo de registros existente,aws-controltower/CloudTrailLogs, em CloudWatch Registros. Você deve renomear ou remover o grupo de logs.

Antes de configurar um novo Região da AWS

Se você pretende configurar um novo landing zone em uma nova AWS região, siga estas etapas adicionais.

  • Digite o seguinte comando por meio doCLI:

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

  • Exclua a regra gerenciada restante, chamada AWSControlTowerManagedRule, das contas compartilhadas e contas-membros de todas as regiões administradas.

nota

Você não pode configurar uma nova landing zone em uma organização de nível superior OUs chamada Security ou Sandbox. Você deve renomeá-los ou removê-los OUs para configurar uma landing zone novamente.