View a markdown version of this page

Tâches de nettoyage manuelles requises après la mise hors service - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tâches de nettoyage manuelles requises après la mise hors service

Cette section répertorie les tâches de nettoyage manuel que vous devez effectuer après l'étape initiale de mise hors service.

  • Vous devez spécifier des adresses e-mail différentes pour les comptes d'archive du journal et d'audit si vous créez une nouvelle zone d'atterrissage après en avoir mis hors service, ou si vous suivez la procédure pour importer vos propres comptes d'archive de journal ou d'audit existants.

  • Le groupe de CloudWatch journaux Logs doit être supprimé manuellement avant de configurer une autre zone de landing zone. aws-controltower/CloudTrailLogs

  • Les deux compartiments Amazon S3 avec des noms réservés pour les journaux doivent être supprimés ou renommés manuellement.

  • Vous devez supprimer ou renommer manuellement les unités organisationnelles Security et Sandbox existantes.

    Note

    Avant de pouvoir supprimer l'organisation OU AWS Control Tower Security, vous devez d'abord supprimer les comptes de journalisation et d'audit, mais pas le compte de gestion. Pour supprimer ces comptes, vous devez Quand se connecter en tant qu'utilisateur root au compte d'audit et au compte de journalisation, puis les supprimer manuellement.

  • Vous souhaiterez peut-être supprimer manuellement la configuration AWS IAM Identity Center (IAM Identity Center) d'AWS Control Tower, mais vous pouvez continuer avec la configuration IAM Identity Center existante.

  • Vous souhaiterez peut-être supprimer le VPC créé par AWS Control Tower et supprimer le AWS CloudFormation stack set associé.

  • Avant de configurer une nouvelle zone de landing zone dans une nouvelle AWS région, vous devez suivre ces étapes supplémentaires.

    • Entrez la commande suivante via la CLI :

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

    • Supprimez la règle gérée restante, appeléeAWSControlTowerManagedRule, des comptes partagés et membres de toutes les régions gouvernées. AWSControlTowerManagedRuleest une EventBridge règle d'Amazon.