本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
解除委任登陸區域後的設定
解除委任登陸區域之後,在手動清理完成之前,您無法再次成功執行安裝程式。此外,如果沒有手動清理這些剩餘資源,您可能會產生意外的帳單費用。您必須注意以下問題:
-
AWS Control Tower 管理帳戶是 AWS Control Tower 根 OU 的一部分。請確定這些 IAM 角色和 IAM 政策已從管理帳戶移除:
-
角色:
- AWSControlTowerAdmin- AWSControlTowerCloudTrailRole- AWSControlTowerStackSetRole -
政策:
- AWSControlTowerAdminPolicy- AWSControlTowerCloudTrailRolePolicy- AWSControlTowerStackSetRolePolicy
-
-
在您再次設定登陸區域之前,您可能想要刪除或更新 AWS Control Tower 的現有 IAM Identity Center 組態,但不需要刪除它。
-
您可能想要移除 AWS Control Tower 建立的 VPC。
-
如果記錄或稽核帳戶指定的電子郵件地址與現有 AWS 帳戶相關聯,則設定會失敗。您可以關閉 AWS 帳戶,或使用不同的電子郵件地址再次設定登陸區域。或者,您可以重複使用這些現有的共用帳戶,並搭配 功能,讓您擁有自己的記錄和稽核帳戶。如需詳細資訊,請參閱引進現有安全或記錄帳戶的考量事項。
-
如果記錄帳戶中已存在具有下列預留名稱的 Amazon S3 儲存貯體,則設定失敗:
-
aws-controltower-logs-(用於日誌儲存貯體)。{accountId}-{region}
-
aws-controltower-s3-access-logs-(用於日誌記錄存取儲存貯體)。{accountId}-{region}
您必須重新命名或移除這些儲存貯體,或為日誌帳戶使用不同的帳戶。
-
-
如果管理帳戶在 CloudWatch Logs 中有現有的日誌群組
aws-controltower/CloudTrailLogs,則設定失敗。您必須重新命名或移除日誌群組。
在新的 中設定之前 AWS 區域
如果您打算在新的 AWS 區域中設定新的登陸區域,請遵循這些額外步驟。
-
透過 CLI 輸入下列命令:
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com -
從所有受管區域的共用和成員帳戶刪除剩餘的受管規則
AWSControlTowerManagedRule,稱為 。
注意
您無法在名為 Security 或 Sandbox 的頂層 OUs組織中設定新的登陸區域。您必須重新命名或移除這些 OU,才能再次設定登陸區域。
