Configuração após o descomissionamento de uma landing zone - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração após o descomissionamento de uma landing zone

Após desativar a zona de destino, não é possível executar a configuração com êxito novamente até que a limpeza manual esteja concluída. Além disso, sem a limpeza manual desses recursos restantes, você pode ter cobranças inesperadas. Você deve atentar-se às seguintes questões:

  • A conta de gerenciamento da AWS Control Tower faz parte da AWS Control Tower Root OU. Certifique-se de que essas funções e políticas do IAM sejam removidas da conta de gerenciamento:

    • Funções:

      - AWSControlTowerAdmin

      - AWSControlTowerCloudTrailRole

      - AWSControlTowerStackSetRole

    • Políticas:

      - AWSControlTowerAdminPolicy

      - AWSControlTowerCloudTrailRolePolicy

      - AWSControlTowerStackSetRolePolicy

  • Talvez você queira excluir ou atualizar a configuração existente do IAM Identity Center para o AWS Control Tower antes de criar uma landing zone novamente, mas não é necessário excluí-la.

  • Talvez você queira remover a VPC criada pelo AWS Control Tower.

  • A configuração falhará se os endereços de e-mail especificados para as contas de registro ou auditoria estiverem associados a uma AWS conta existente. Você pode fechar as AWS contas ou usar endereços de e-mail diferentes para configurar uma landing zone novamente. Como alternativa, você pode reutilizar essas contas compartilhadas existentes, com o recurso que permite que você traga suas próprias contas de registro e auditoria. Para ter mais informações, consulte Considerações sobre como trazer contas de segurança ou registro existentes.

  • A configuração falhará se os buckets do Amazon S3 com os seguintes nomes reservados já existirem na conta de registro:

    • aws-controltower-logs-{accountId}-{region} (usado para o bucket de registro).

    • aws-controltower-s3-access-logs-{accountId}-{region} (usado para o bucket de acesso de registro).

    Você deve renomear ou remover esses buckets, ou usar uma conta diferente para o registro.

  • A configuração falhará se a conta de gerenciamento tiver o grupo de registros existente,aws-controltower/CloudTrailLogs, em CloudWatch Registros. Você deve renomear ou remover o grupo de logs.

Antes de configurar um novo Região da AWS

Se você pretende configurar um novo landing zone em uma nova AWS região, siga estas etapas adicionais.

  • Digite o seguinte comando por meio da CLI:

    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

  • Exclua a regra gerenciada restante, chamadaAWSControlTowerManagedRule, das contas compartilhadas e membros de todas as regiões governadas.

nota

Você não pode configurar uma nova landing zone em uma organização com OUs de alto nível denominadas Security ou Sandbox. É necessário renomear ou remover essas UOs para configurar uma zona de destino novamente.