Configuração após o desmantelamento de uma landing zone - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração após o desmantelamento de uma landing zone

Após desativar a zona de destino, não é possível executar a configuração com êxito novamente até que a limpeza manual esteja concluída. Além disso, sem a limpeza manual desses recursos restantes, você pode ter cobranças inesperadas. Você deve atentar-se às seguintes questões:

  • A conta de gerenciamento da AWS Control Tower faz parte da AWS Control TowerUO raiz. Certifique-se de que essas funções e políticas do IAM sejam removidas da conta de gerenciamento:

    • Funções:

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Políticas:

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Você pode querer excluir ou atualizar o existenteAWS SSOConfiguração do AWS Control Tower antes da ativação de uma landing zone novamente, mas não é necessário excluí-la.

  • Talvez você deseje remover a VPC criada pela AWS Control Tower.

  • A configuração falhará se os endereços de e-mail especificados para as contas de registro ou auditoria estiverem associados a uma conta existente da AWS. É necessário encerrar as contas da AWS ou usar endereços de e-mail diferentes para configurar uma zona de destino novamente.

  • A configuração falhará se os buckets do S3 com os seguintes nomes reservados já existirem na conta de registro:

    • aws-controltower-logs-{accountId}-{region} (usado para o bucket de registro).

    • aws-controltower-s3-access-logs-{accountId}-{region} (usado para o bucket de acesso de registro).

    Você deve renomear ou remover esses buckets, ou usar uma conta diferente para o registro.

  • A configuração falhará se a conta de gerenciamento tiver o grupo de logs existente,aws-controltower/CloudTrailLogs, no CloudWatch Logs. Você deve renomear ou remover o grupo de logs.

Se você pretende configurar uma nova landing zone em uma nova região da AWS, siga esta etapa adicional. Digite o comando a seguir por meio da CLI:

aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
nota

Você não pode configurar uma nova landing zone em uma organização com UOs de nível superior chamadaSegurançaouSandbox. É necessário renomear ou remover essas UOs para configurar uma zona de destino novamente.