Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Procédures
Ce chapitre contient des procédures pas à pas qui peuvent vous aider à utiliser AWS Control Tower.
**Rubriques**
+ [Procédure pas à pas : passer d'ALZ à AWS Control Tower](alz-to-control-tower.md)
+ [Procédure pas à pas : configurer AWS Control Tower sans VPC](configure-without-vpc.md)
+ [Supprimer les ressources AWS Control Tower](walkthrough-delete.md)
+ [Procédure pas à pas : configurer des groupes de sécurité dans AWS Control Tower avec AWS Firewall Manager](firewall-setup-walkthrough.md)
+ [Désaffectation d'une zone de landing zone AWS Control Tower](decommission-landing-zone.md)
# Procédure pas à pas : passer d'ALZ à AWS Control Tower
De nombreux AWS clients ont adopté la [solution AWS Landing Zone (ALZ)](https://aws.amazon.com//solutions/implementations/aws-landing-zone/) pour mettre en place un environnement multi-comptes AWS sécurisé et conforme. Pour réduire la charge de travail liée à la gestion d'une zone d'atterrissage, nous avons AWS créé le service géré appelé AWS Control Tower.
Aucune fonctionnalité supplémentaire n'est prévue pour ALZ ; le support à long terme est uniquement disponible. Par conséquent, nous vous recommandons de passer au service AWS Control Tower depuis ALZ. Le blog dont le lien figure dans ce chapitre vous présente les différentes considérations relatives à cette migration et explique comment planifier une migration réussie d'ALZ vers AWS Control Tower.
**Blog :** [Migrer la solution AWS Landing Zone vers AWS Control Tower](https://aws.amazon.com/blogs//mt/migrate-aws-landing-zone-solution-to-aws-control-tower/)
AWS Prescriptive Guidance propose une documentation plus complète, y compris les étapes de transition d'ALZ vers AWS Control Tower. Essentiellement, vous allez activer la gouvernance d'AWS Control Tower dans votre organisation existante qui exécute ALZ, en fonction d'un certain nombre de prérequis. Pour plus d'informations, consultez [Transitioning from AWS Landing Zone vers AWS Control Tower](https://docs.aws.amazon.com//prescriptive-guidance/latest/aws-control-tower/introduction.html).
# Procédure pas à pas : configurer AWS Control Tower sans VPC
Cette rubrique explique comment configurer vos comptes AWS Control Tower sans VPC.
Si votre charge de travail ne nécessite pas de VPC, vous pouvez effectuer les opérations suivantes :
+ Vous pouvez supprimer le cloud privé virtuel (VPC) d'AWS Control Tower. Ce VPC a été créé lorsque vous avez configuré votre zone d'accueil.
+ Vous pouvez modifier les paramètres de votre Account Factory afin que de nouveaux comptes AWS Control Tower soient créés sans VPC associé.
**Important**
Si vous configurez des comptes Account Factory avec les paramètres d'accès Internet VPC activés, ce paramètre annule le contrôle Interdire l'accès à [Internet pour une instance Amazon VPC gérée](https://docs.aws.amazon.com//controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access) par un client. Pour éviter d'activer l'accès à Internet pour les comptes nouvellement provisionnés, vous devez modifier le paramètre dans Account Factory.
## Supprimer le VPC AWS Control Tower
En dehors d'AWS Control Tower, chaque AWS client dispose d'un VPC par défaut, que vous pouvez consulter sur la console Amazon Virtual Private Cloud (Amazon VPC) à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Vous reconnaîtrez le VPC par défaut, car son nom inclut toujours le mot *(default)* à la fin du nom.
Lorsque vous configurez une zone de landing zone AWS Control Tower, AWS Control Tower supprime votre VPC AWS par défaut et crée un nouveau VPC par défaut AWS Control Tower. Le nouveau VPC est associé à votre compte de gestion AWS Control Tower. Cette rubrique désigne ce nouveau VPC sous le nom de VPC *Control Tower*.
Lorsque vous consultez votre VPC AWS Control Tower dans la console Amazon VPC, le mot *(par défaut)* *ne s'affiche pas* à la fin du nom. Si vous possédez plusieurs VPC, vous devez utiliser la plage d'adresses CIDR attribuée pour identifier le VPC AWS Control Tower approprié.
Vous pouvez supprimer le VPC AWS Control Tower, mais si vous avez besoin ultérieurement d'un VPC dans AWS Control Tower, vous devez le créer vous-même.
**Pour supprimer le VPC AWS Control Tower**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Recherchez **VPC** ou sélectionnez **VPC** dans les options du Service Catalog. Vous voyez ensuite le **tableau de bord VPC**.
1. Dans le menu de gauche, sélectionnez **Votre VPCs**. Vous voyez alors une liste de tous vos VPCs.
1. Identifiez le VPC AWS Control Tower en fonction de sa plage de CIDR.
1. Sélectionnez le VPC, choisissez **Actions**, puis **Delete VPC (Supprimer le VPC)**.
Un VPC AWS *(par défaut)* existe déjà dans chaque région pour le compte de gestion AWS Control Tower. Conformément aux meilleures pratiques en matière de sécurité, si vous choisissez de supprimer le VPC AWS Control Tower, il est également préférable de supprimer le AWS VPC par défaut associé au compte de gestion dans toutes les régions. AWS Par conséquent, pour sécuriser le compte de gestion, supprimez le VPC par défaut de chaque région, ainsi que le VPC créé par Control Tower dans votre région d'origine AWS Control Tower.
## Nettoyez éventuellement la ressource VPC du compte
Facultativement, pour nettoyer la ressource AWS Control Tower VPC`aws-controltower-VPC`, à partir d'un compte existant, vous pouvez supprimer l'instance de pile du AWS CloudFormation StackSet`AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`, après vous être assuré qu'il n'existe aucune ressource existante ou dépendance de ressources dans le VPC.
## Créez un compte dans AWS Control Tower sans VPC
Si les charges de travail de vos utilisateurs finaux ne le nécessitent pas VPCs, vous pouvez utiliser cette méthode pour configurer des comptes d'utilisateurs finaux qui n'ont pas VPCs été créés automatiquement pour eux.
Depuis le tableau de bord d'AWS Control Tower, vous pouvez consulter et modifier les paramètres de configuration de votre réseau. Une fois que vous avez modifié les paramètres afin que les comptes AWS Control Tower soient créés sans VPC associé, tous les nouveaux comptes sont créés sans VPC jusqu'à ce que vous modifiiez à nouveau les paramètres.
**Pour configurer Account Factory afin de créer des comptes sans VPCs**
1. Ouvrez un navigateur Web et accédez à la console AWS Control Tower à l'adresse [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower).
1. Choisissez **Account Factory** dans le menu de gauche.
1. Vous voyez ensuite la page Account Factory avec la section **Configuration réseau**.
1. Notez les paramètres actuels si vous avez l'intention de les restaurer ultérieurement.
1. Choisissez le bouton **Edit (Modifier)** dans la section **Network Configuration (Configuration du réseau)**.
1. Sur la page **Edit account factory network configuration (Modifier la configuration du réseau Account Factory)**, accédez à la section **VPC Configuration options for new accounts (Options de configuration des VPC pour les nouveaux comptes)** .
Vous pouvez suivre l'**option 1** ou l'**option 2**, ou les deux, pour vous assurer qu'AWS Control Tower ne crée pas de VPC lors du provisionnement d'un compte.
1.
**Option 1 — Supprimer des sous-réseaux**
+ Désactivez le commutateur bascule du **sous-réseau accessible sur Internet** .
+ Définissez la valeur **Maximum number of private subnets (Nombre maximal de sous-réseaux privés)** sur 0.
1.
**Option 2 — Supprimer des AWS régions**
+ Désactivez chaque case à cocher de la colonne **Regions for VPC creation (Régions pour la création de VPC)**.
1. Choisissez **Enregistrer**.
### Erreurs possibles
Soyez conscient de ces erreurs possibles qui peuvent se produire lorsque vous supprimez votre VPC AWS Control Tower ou que vous reconfigurez Account Factory pour créer des comptes sans. VPCs
+ Votre compte de gestion existant peut comporter des dépendances ou des ressources dans le VPC AWS Control Tower, ce qui peut provoquer une erreur de *suppression.*
+ Si vous conservez le CIDR par défaut en place lorsque vous configurez pour lancer de nouveaux comptes sans VPC, votre demande échoue avec une erreur indiquant que *le CIDR n'est pas valide*.
# Procédure pas à pas : configurer des groupes de sécurité dans AWS Control Tower avec AWS Firewall Manager
La vidéo explique comment utiliser le service AWS Firewall Manager pour améliorer la sécurité de votre réseau pour AWS Control Tower. Vous pouvez désigner un compte d'administrateur de sécurité qui est activé pour configurer des groupes de sécurité. Vous découvrirez comment configurer des politiques de sécurité et appliquer des règles de sécurité pour vos organisations AWS Control Tower, et comment vous pouvez remédier aux ressources non conformes en appliquant des politiques automatiquement. Vous pouvez consulter les groupes de sécurité en vigueur pour chaque compte et ressource (par exemple, une instance Amazon EC2) de votre organisation.
Vous pouvez créer vos propres stratégies de pare-feu ou vous abonner aux règles des fournisseurs approuvés.
## Configuration de groupes de sécurité avec AWS Firewall Manager
Cette vidéo (8:02) explique comment configurer une meilleure sécurité de l'infrastructure réseau pour vos ressources et vos charges de travail dans AWS Control Tower. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.
[](http://www.youtube.com/watch?v=wocz0drq8-8)
Pour plus d'informations, consultez la [documentation sur la configuration du AWS WAF](https://docs.aws.amazon.com//waf/latest/developerguide/setting-up-waf.html).