Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Tutoriales
En este capítulo se incluyen procedimientos del tutorial que pueden ayudarle en el uso de AWS Control Tower..
**Temas**
+ [Tutorial: Transición de ALZ a AWS Control Tower](alz-to-control-tower.md)
+ [Tutorial: Configuración de AWS Control Tower sin una VPC](configure-without-vpc.md)
+ [Eliminación de recursos de AWS Control Tower](walkthrough-delete.md)
+ [Tutorial: Configure grupos de seguridad en AWS Control Tower con AWS Firewall Manager](firewall-setup-walkthrough.md)
+ [Retirada de una zona de aterrizaje de AWS Control Tower](decommission-landing-zone.md)
# Tutorial: Transición de ALZ a AWS Control Tower
Muchos AWS clientes han adoptado la [solución AWS Landing Zone (ALZ)](https://aws.amazon.com//solutions/implementations/aws-landing-zone/) para configurar un entorno seguro, compatible y con múltiples cuentas AWS. Para reducir la carga que supone administrar una zona de aterrizaje,AWS ha creado el servicio administrado denominado AWS Control Tower.
No se han programado características adicionales para ALZ; solo se trata de un soporte a largo plazo. Por lo tanto, le recomendamos cambiar de ALZ al servicio AWS Control Tower. En el blog vinculado a este capítulo se explican las diferentes consideraciones que se deben tener en cuenta para llevar a cabo esa transición, así como la manera de planificar una migración exitosa de ALZ a AWS Control Tower.
**Blog:** [Migrar la solución AWS Landing Zone a AWS Control Tower](https://aws.amazon.com/blogs//mt/migrate-aws-landing-zone-solution-to-aws-control-tower/)
AWS La guía prescriptiva ofrece una documentación más amplia, que incluye los pasos para la transición de ALZ a AWS Control Tower. Básicamente, habilitará la gobernanza de AWS Control Tower en su organización actual que ejecuta ALZ, en función de una serie de requisitos previos. Para obtener más información, consulte [Transición de la zona de AWS aterrizaje a la Torre de Control de AWS](https://docs.aws.amazon.com//prescriptive-guidance/latest/aws-control-tower/introduction.html).
# Tutorial: Configuración de AWS Control Tower sin una VPC
En este tema se explica cómo configurar sus cuentas de AWS Control Tower sin una VPC.
Si la carga de trabajo no requiere una VPC, puede hacer lo siguiente:
+ Puede eliminar la nube privada virtual (VPC) de AWS Control Tower. Esta VPC se creó al configurar la zona de inicio.
+ Puede cambiar la configuración del generador de cuentas para que se creen nuevas cuentas de AWS Control Tower sin una VPC asociada.
**importante**
Si aprovisiona cuentas del generador de cuentas con la configuración de acceso a Internet de la VPC habilitada, esa configuración del generador de cuentas invalida el control [No permitir el acceso a Internet para una instancia de Amazon VPC administrada por un cliente](https://docs.aws.amazon.com//controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access). Para evitar habilitar el acceso a Internet para las cuentas recién aprovisionadas, debe cambiar la configuración en el generador de cuentas.
## Eliminación de la VPC de AWS Control Tower
Fuera de la Torre de Control de AWS, cada AWS cliente tiene una VPC predeterminada, que puede ver en la consola Amazon Virtual Private Cloud (Amazon VPC) en. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Reconocerá la VPC predeterminada, ya que su nombre siempre incluye la palabra *(default)* al final del nombre.
Al configurar una zona de aterrizaje de AWS Control Tower, AWS Control Tower elimina la VPC AWS predeterminada y crea una nueva VPC predeterminada de AWS Control Tower. La nueva VPC está asociada a su cuenta de administración de AWS Control Tower. En este tema se hace referencia a esa nueva VPC como la *VPC de Control Tower*.
Cuando vea la VPC de su AWS Control Tower en la consola de Amazon VPC, *no* verá la palabra *(default)* al final del nombre. Si tiene más de una VPC, debe utilizar el rango de CIDR asignado para identificar la VPC de AWS Control Tower correcta.
Puede eliminar la VPC de AWS Control Tower, pero si más adelante necesita una VPC en AWS Control Tower, debe crearla usted mismo.
**Para eliminar la VPC de AWS Control Tower**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Busque **VPC** o seleccione **VPC** en las opciones de Service Catalog. A continuación, verá el **panel de VPC**.
1. **En el menú de la izquierda, selecciona Your. VPCs** A continuación, verá una lista de todos sus VPCs.
1. Identifique la VPC de AWS Control Tower por su rango de CIDR.
1. Seleccione la VPC; elija **Actions (Acciones)** y luego elija **Delete VPC (Eliminar VPC)**.
Ya existe una VPC AWS *(predeterminada)* en cada región para la cuenta de administración de AWS Control Tower. Para seguir las prácticas recomendadas de seguridad, si decide eliminar la VPC de AWS Control Tower, también es mejor eliminar la AWS VPC predeterminada asociada a la cuenta de administración de todas las regiones. AWS Por lo tanto, para proteger la cuenta de administración, elimine la VPC predeterminada de cada región, así como la VPC creada por Control Tower en su región de origen de AWS Control Tower.
## Si lo desea, limpie el recurso de VPC de la cuenta
Si lo desea, para limpiar el recurso de la VPC de la AWS Control Tower de una cuenta existente, puede eliminar la instancia de la pila de la AWS CloudFormation StackSet`AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`, después de asegurarse de que no hay recursos o dependencias de recursos existentes en la VPC. `aws-controltower-VPC`
## Creación de una cuenta en AWS Control Tower sin una VPC
Si las cargas de trabajo de sus usuarios finales no lo requieren VPCs, puede utilizar este método para configurar cuentas de usuario final que no se hayan creado automáticamente para ellas. VPCs
En el panel de AWS Control Tower, puede ver y editar las opciones de configuración de red. Después de cambiar la configuración para que las cuentas de AWS Control Tower se creen sin una VPC asociada, todas las cuentas nuevas se crean sin una VPC hasta que vuelva a cambiar la configuración.
**Para configurar Account Factory para crear cuentas sin VPCs**
1. Abra un navegador web y diríjase a la consola de la Torre de Control de AWS en [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower).
1. Seleccione **Generador de cuentas** en el menú de la izquierda.
1. A continuación, verá la página del generador de cuentas con la sección **Configuración de red**.
1. Tenga en cuenta la configuración actual si va a restaurarla más adelante.
1. Elija el botón **Edit (Editar)** en la sección **Network Configuration (Configuración de red)**.
1. En la página **Edit account factory network configuration (Editar configuración de red de fábrica de cuentas)**, vaya a la sección **VPC Configuration options for new accounts (Opciones de configuración de VPC para cuentas nuevas)**.
Puede seguir las **opción 1** o la **opción 2**, o ambas, para asegurarse de que AWS Control Tower no cree una VPC al aprovisionar una cuenta.
1.
**Opción 1: Eliminar subredes**
+ Desactive el conmutador de conmutación de **subred accesible a Internet**.
+ Establezca el valor **Maximum number of private subnets (Número máximo de subredes privadas)** en 0.
1.
**Opción 2: Eliminar regiones AWS**
+ Desactive cada casilla de verificación de la columna **Regions for VPC creation (Regiones para la creación de VPC)**.
1. Seleccione **Save**.
### Posibles errores
Tenga en cuenta estos posibles errores que podrían producirse al eliminar su VPC de AWS Control Tower o al volver a configurar Account Factory para crear cuentas sin ella. VPCs
+ Su cuenta de administración existente puede tener dependencias o recursos en la VPC de AWS Control Tower, lo que puede provocar un error de eliminación.
+ Si deja el CIDR predeterminado en vigor al configurar para lanzar cuentas nuevas sin una VPC, la solicitud produce un error que indica que *el CIDR no es válido*.
# Tutorial: Configure grupos de seguridad en AWS Control Tower con AWS Firewall Manager
El vídeo muestra cómo utilizar el servicio AWS Firewall Manager para mejorar la seguridad de la red para AWS Control Tower. Puede designar una cuenta de administrador de seguridad habilitada para configurar grupos de seguridad. Verá cómo puede configurar directivas de seguridad y aplicar reglas de seguridad para sus organizaciones de AWS Control Tower, y cómo puede remediar los recursos no conformes aplicando políticas automáticamente. Puede ver los grupos de seguridad que están en vigor para cada cuenta y recurso (como una instancia de Amazon EC2) de su organización.
Puede crear sus propias políticas de firewall o suscribirse a reglas de proveedores de confianza.
## Configure grupos de seguridad con AWS Firewall Manager
Este vídeo (8:02) describe cómo configurar una mejor seguridad de la infraestructura de red para sus recursos y cargas de trabajo en AWS Control Tower. Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.
[](http://www.youtube.com/watch?v=wocz0drq8-8)
Para obtener más información, consulte la [documentación sobre cómo configurar AWS WAF](https://docs.aws.amazon.com//waf/latest/developerguide/setting-up-waf.html).