Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Anleitungen
Dieses Kapitel enthält schrittweise Anleitungen, die Ihnen bei der Verwendung von AWS Control Tower helfen können.
**Topics**
+ [Exemplarische Vorgehensweise: Wechsel von ALZ zu AWS Control Tower](alz-to-control-tower.md)
+ [Exemplarische Vorgehensweise: Konfiguration von AWS Control Tower ohne VPC](configure-without-vpc.md)
+ [AWS Control Tower Tower-Ressourcen entfernen](walkthrough-delete.md)
+ [Exemplarische Vorgehensweise: Sicherheitsgruppen in AWS Control Tower einrichten mit AWS Firewall Manager](firewall-setup-walkthrough.md)
+ [Außerbetriebnahme einer AWS Control Tower Tower-Landezone](decommission-landing-zone.md)
# Exemplarische Vorgehensweise: Wechsel von ALZ zu AWS Control Tower
Viele AWS Kunden haben sich für die [AWS Landing Zone-Lösung (ALZ)](https://aws.amazon.com//solutions/implementations/aws-landing-zone/) entschieden, um eine sichere, konforme AWS Umgebung mit mehreren Konten einzurichten. Um den Aufwand für die Verwaltung einer landing zone zu reduzieren, AWS wurde der verwaltete Service namens AWS Control Tower entwickelt.
Für ALZ sind keine zusätzlichen Funktionen geplant; es handelt sich nur um langfristigen Support. Daher empfehlen wir Ihnen, von ALZ zum AWS Control Tower Tower-Service zu wechseln. Der in diesem Kapitel verlinkte Blog führt Sie durch verschiedene Überlegungen zu diesem Schritt und erklärt, wie Sie eine erfolgreiche Migration von ALZ zu AWS Control Tower planen können.
**Blog:** [Migrieren Sie die AWS Landing Zone-Lösung zu AWS Control Tower](https://aws.amazon.com/blogs//mt/migrate-aws-landing-zone-solution-to-aws-control-tower/)
AWS Prescriptive Guidance bietet eine umfassendere Dokumentation, einschließlich Schritten für den Übergang von ALZ zu AWS Control Tower. Im Wesentlichen aktivieren Sie AWS Control Tower Governance in Ihrer bestehenden Organisation, in der ALZ ausgeführt wird, basierend auf einer Reihe von Voraussetzungen. Weitere Informationen finden Sie unter [Übergang von der AWS Landing Zone zu AWS Control Tower](https://docs.aws.amazon.com//prescriptive-guidance/latest/aws-control-tower/introduction.html).
# Exemplarische Vorgehensweise: Konfiguration von AWS Control Tower ohne VPC
In diesem Thema wird beschrieben, wie Sie Ihre AWS Control Tower Tower-Konten ohne VPC konfigurieren.
Wenn für Ihren Workload keine VPC erforderlich ist, können Sie Folgendes tun:
+ Sie können die virtuelle private Cloud (VPC) von AWS Control Tower löschen. Diese VPC wurde erstellt, als Sie Ihre Landing Zone eingerichtet haben.
+ Sie können Ihre Account Factory Factory-Einstellungen so ändern, dass neue AWS Control Tower Tower-Konten ohne zugehörige VPC erstellt werden.
**Wichtig**
Wenn Sie Account Factory Factory-Konten mit aktivierten VPC-Internetzugriffseinstellungen bereitstellen, hat diese Account Factory Factory-Einstellung Vorrang vor der Einstellung [Internetzugriff verbieten für eine von einem Kunden verwaltete Amazon VPC-Instance](https://docs.aws.amazon.com//controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access). Um zu verhindern, dass der Internetzugang für neu bereitgestellte Konten aktiviert wird, müssen Sie die Einstellung in Account Factory ändern.
## Löschen Sie die AWS Control Tower VPC
Außerhalb von AWS Control Tower hat jeder AWS Kunde eine Standard-VPC, die Sie auf der Amazon Virtual Private Cloud (Amazon VPC) -Konsole unter einsehen können. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Sie erkennen die Standard-VPC, da ihr Name immer das Wort *(default)* am Ende des Namens enthält.
Wenn Sie eine AWS Control Tower-Landezone einrichten, löscht AWS Control Tower Ihre AWS Standard-VPC und erstellt eine neue AWS Control Tower Tower-Standard-VPC. Die neue VPC ist mit Ihrem AWS Control Tower Tower-Managementkonto verknüpft. In diesem Thema wird diese neue VPC als *Control Tower VPC* bezeichnet.
Wenn Sie Ihre AWS Control Tower VPC in der Amazon VPC-Konsole aufrufen, wird Ihnen das Wort *(Standard)* am Ende des Namens *nicht* angezeigt. Wenn Sie mehr als eine VPC haben, müssen Sie den zugewiesenen CIDR-Bereich verwenden, um die richtige AWS Control Tower VPC zu identifizieren.
Sie können die AWS Control Tower VPC löschen, aber wenn Sie später eine VPC in AWS Control Tower benötigen, müssen Sie sie selbst erstellen.
**Um die AWS Control Tower VPC zu löschen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Suchen Sie in den Service Catalog-Optionen nach **VPC**, **VPC** oder wählen Sie sie aus. Anschließend wird das **VPC-Dashboard angezeigt**.
1. Wählen Sie im Menü auf der linken Seite **Ihre VPCs** aus. Sie sehen dann eine Liste all Ihrer VPCs.
1. Identifizieren Sie die AWS Control Tower VPC anhand ihres CIDR-Bereichs.
1. Wählen Sie die VPC aus, dann **Actions (Aktionen)** und anschließend **Delete VPC (VPC löschen)**.
In jeder Region ist bereits eine AWS *(Standard-)* VPC für das AWS Control Tower Tower-Managementkonto vorhanden. Um die bewährten Sicherheitsmethoden zu befolgen, empfiehlt es sich, wenn Sie die AWS Control Tower Tower-VPC löschen, auch die mit dem Verwaltungskonto verknüpfte AWS Standard-VPC aus allen AWS Regionen zu löschen. Um das Verwaltungskonto zu sichern, entfernen Sie daher die Standard-VPC aus jeder Region sowie die von Control Tower in Ihrer AWS Control Tower Tower-Heimatregion erstellte VPC.
## Bereinigen Sie optional die VPC-Ressource im Konto
Um die VPC-Ressource von AWS Control Tower von einem vorhandenen Konto zu bereinigen`aws-controltower-VPC`, können Sie optional die Stack-Instance aus dem entfernen AWS CloudFormation StackSet`AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`, nachdem Sie sichergestellt haben, dass in der VPC keine Ressourcen oder Ressourcenabhängigkeiten vorhanden sind.
## Erstellen Sie ein Konto in AWS Control Tower ohne VPC
Wenn Ihre Endbenutzer-Workloads dies nicht erfordern VPCs, können Sie diese Methode verwenden, um Endbenutzerkonten einzurichten, die nicht automatisch für sie VPCs erstellt wurden.
Über das AWS Control Tower Tower-Dashboard können Sie Ihre Netzwerkkonfigurationseinstellungen anzeigen und bearbeiten. Nachdem Sie die Einstellungen so geändert haben, dass AWS Control Tower Tower-Konten ohne zugeordnete VPC erstellt werden, werden alle neuen Konten ohne VPC erstellt, bis Sie die Einstellungen erneut ändern.
**So konfigurieren Sie Account Factory für die Erstellung von Konten ohne VPCs**
1. Öffnen Sie einen Webbrowser und navigieren Sie zur AWS Control Tower Tower-Konsole unter [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower).
1. Wählen Sie **Account Factory** aus dem Menü auf der linken Seite.
1. Anschließend wird die Account Factory Factory-Seite mit dem Abschnitt **Netzwerkkonfiguration** angezeigt.
1. Beachten Sie die aktuellen Einstellungen, wenn Sie sie später wiederherstellen möchten.
1. Wählen Sie die Schaltfläche **Edit (Bearbeiten**) im Abschnitt **Network Configuration (Netzwerkkonfiguration**) aus.
1. Wechseln Sie auf der Seite **Edit account factory network configuration** zum Abschnitt **VPC Configuration options for new accounts**.
Sie können **Option 1** oder **Option 2** oder beiden folgen, um sicherzustellen, dass AWS Control Tower bei der Bereitstellung eines Kontos keine VPC erstellt.
1.
**Option 1 — Subnetze entfernen**
+ Deaktivieren Sie den Schalter für das ** Internet-accessible subnet (Subnetz, auf das das Internet zugreifen kann)**.
+ Legen Sie den Wert **Maximum number of private subnets (Maximale Anzahl an privaten Subnetzen)** auf 0 fest.
1.
**Option 2 — Regionen entfernen AWS**
+ Deaktivieren Sie jedes Kontrollkästchen in der Spalte **Regions for VPC creation (Regionen für die VPC-Erstellung)**.
1. Wählen Sie **Speichern**.
### Mögliche Fehler
Beachten Sie diese möglichen Fehler, die auftreten können, wenn Sie Ihre AWS Control Tower VPC löschen oder Account Factory neu konfigurieren, um Konten ohne zu erstellen. VPCs
+ Ihr vorhandenes Verwaltungskonto verfügt möglicherweise über Abhängigkeiten oder Ressourcen in der AWS Control Tower VPC, was zu einem *Fehler beim Löschen* führen kann.
+ Wenn Sie die Standard-CIDR beim Einrichten beibehalten, um neue Konten ohne VPC zu starten, schlägt Ihre Anfrage mit der Fehlermeldung fehl, dass *die CIDR ungültig ist*.
# Exemplarische Vorgehensweise: Sicherheitsgruppen in AWS Control Tower einrichten mit AWS Firewall Manager
Das Video zeigt Ihnen, wie Sie den AWS Firewall Manager Manager-Service verwenden, um Ihre Netzwerksicherheit für AWS Control Tower zu verbessern. Sie können ein Sicherheitsadministratorkonto festlegen, das zum Einrichten von Sicherheitsgruppen aktiviert ist. Sie erfahren, wie Sie Sicherheitsrichtlinien konfigurieren und Sicherheitsregeln für Ihre AWS Control Tower Tower-Organisationen durchsetzen können und wie Sie nicht konforme Ressourcen beheben können, indem Sie Richtlinien automatisch anwenden. Sie können die Sicherheitsgruppen anzeigen, die für jedes Konto und jede Ressource (z. B. eine Amazon EC2 EC2-Instance) in Ihrer Organisation gültig sind.
Sie können eigene Firewall-Richtlinien erstellen oder Regeln von vertrauenswürdigen Anbietern abonnieren.
## Sicherheitsgruppen mit AWS Firewall Manager einrichten
In diesem Video (8:02) wird beschrieben, wie Sie eine bessere Netzwerkinfrastruktursicherheit für Ihre Ressourcen und Workloads in AWS Control Tower einrichten können. Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung.
[](http://www.youtube.com/watch?v=wocz0drq8-8)
Weitere Informationen finden Sie in der [Dokumentation zur Einrichtung von AWS WAF](https://docs.aws.amazon.com//waf/latest/developerguide/setting-up-waf.html).