本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
解除 landing zone 後的設置
解除委任登陸區域之後,在手動清理完成之前,您無法再次成功執行安裝程式。此外,如果沒有手動清理這些剩餘資源,您可能會產生意外的帳單費用。您必須注意以下問題:
-
AWS Control Tower 管理帳戶是 AWS Control Tower 根 OU 的一部分。請確定這些 IAM 角色和 IAM 政策已從管理帳戶中移除:
-
角色:
- AWSControlTowerAdmin- AWSControlTowerCloudTrailRole- AWSControlTowerStackSetRole -
政策:
- AWSControlTowerAdminPolicy- AWSControlTowerCloudTrailRolePolicy- AWSControlTowerStackSetRolePolicy
-
-
您可能希望先刪除或更新 AWS Control Tower 的現有 IAM 身分中心組態,然後再次 landing zone,但不需要將其刪除。
-
您可能希望移除 AWS Control Tower 建立的 VPC。
-
如果為記錄或稽核帳 AWS 戶指定的電子郵件地址與現有帳戶相關聯,則安裝程式會失敗。您可以關閉 AWS 帳戶,或使用不同的電子郵件地址重新設定 landing zone。或者,您可以重複使用這些現有的共享帳戶,並具有允許您攜帶自己的日誌記錄和審計帳戶的功能。如需詳細資訊,請參閱 使用現有安全性或記錄帳戶的考量。
-
如果記錄帳戶中已存在具有下列保留名稱的 Amazon S3 儲存貯體,則安裝失敗:
-
aws-controltower-logs-(用於日誌儲存貯體)。{accountId}-{region}
-
aws-controltower-s3-access-logs-(用於日誌記錄存取儲存貯體)。{accountId}-{region}
您必須重新命名或移除這些儲存貯體,或為日誌帳戶使用不同的帳戶。
-
-
如果管理帳戶在記錄檔中具有現有的 CloudWatch 記錄群組
aws-controltower/CloudTrailLogs,安裝程式會失敗。您必須重新命名或移除日誌群組。
在您設置一個新的 AWS 區域
如果您打算在新區 AWS 域中設置新的 landing zone,請遵循以下其他步驟。
-
透過 CLI 輸入下列指令:
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com -
從所有受控管區域的共用帳戶和成員帳戶中刪除其餘的受管理規則 (稱為
AWSControlTowerManagedRule)。
注意
您無法在具有名為「安全性」或「沙箱」的頂層 OU 的組織中設定新的 landing zone。您必須重新命名或移除這些 OU,才能再次設定登陸區域。
