Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Panduan
Bab ini berisi prosedur panduan yang dapat membantu Anda dalam penggunaan AWS Control Tower.
**Topik**
+ [Panduan: Pindah dari ALZ ke AWS Control Tower](alz-to-control-tower.md)
+ [Panduan: Konfigurasikan AWS Control Tower Tanpa VPC](configure-without-vpc.md)
+ [Hapus sumber daya AWS Control Tower](walkthrough-delete.md)
+ [Panduan: Mengatur Grup Keamanan di AWS Control Tower Dengan AWS Firewall Manager](firewall-setup-walkthrough.md)
+ [Menonaktifkan landing zone AWS Control Tower](decommission-landing-zone.md)
# Panduan: Pindah dari ALZ ke AWS Control Tower
Banyak AWS pelanggan telah mengadopsi [solusi AWS Landing Zone (ALZ)](https://aws.amazon.com//solutions/implementations/aws-landing-zone/) untuk menyiapkan lingkungan AWS multi-akun yang aman, sesuai, dan aman. Untuk mengurangi beban pengelolaan landing zone, AWS buat layanan terkelola yang disebut AWS Control Tower.
Tidak ada fitur tambahan yang dijadwalkan untuk ALZ; itu hanya dalam dukungan jangka panjang. Oleh karena itu, kami menyarankan Anda untuk pindah ke layanan AWS Control Tower dari ALZ. Blog yang ditautkan dalam chapter ini memandu Anda melalui berbagai pertimbangan untuk langkah itu, dan ini menjelaskan bagaimana Anda dapat merencanakan migrasi yang sukses dari ALZ ke AWS Control Tower.
**Blog:** [Migrasikan solusi Zona AWS Pendaratan ke AWS Control Tower](https://aws.amazon.com/blogs//mt/migrate-aws-landing-zone-solution-to-aws-control-tower/)
AWS Prescriptive Guidance menawarkan dokumentasi yang lebih luas, termasuk langkah-langkah untuk transisi dari ALZ ke AWS Control Tower. Pada dasarnya, Anda akan mengaktifkan tata kelola AWS Control Tower di organisasi Anda yang ada yang menjalankan ALZ, berdasarkan sejumlah prasyarat. Untuk selengkapnya, lihat [Transisi dari Zona AWS Pendaratan ke AWS Control Tower](https://docs.aws.amazon.com//prescriptive-guidance/latest/aws-control-tower/introduction.html).
# Panduan: Konfigurasikan AWS Control Tower Tanpa VPC
Topik ini membahas cara mengonfigurasi akun AWS Control Tower Anda tanpa VPC.
Jika beban kerja Anda tidak memerlukan VPC, Anda dapat melakukan hal berikut:
+ Anda dapat menghapus AWS Control Tower virtual private cloud (VPC) virtual. VPC ini dibuat saat Anda mengatur landing zone Anda.
+ Anda dapat mengubah pengaturan Account Factory sehingga akun AWS Control Tower baru dibuat tanpa VPC terkait.
**penting**
Jika Anda menyediakan akun Account Factory dengan pengaturan akses internet VPC diaktifkan, setelan Account Factory akan mengganti kontrol Larang [akses internet untuk instans Amazon VPC yang](https://docs.aws.amazon.com//controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access) dikelola oleh pelanggan. Untuk menghindari mengaktifkan akses internet untuk akun yang baru disediakan, Anda harus mengubah pengaturan di Account Factory.
## Hapus AWS Control Tower VPC
Di luar AWS Control Tower, setiap AWS pelanggan memiliki VPC default, yang dapat Anda lihat di konsol Amazon Virtual Private Cloud (Amazon VPC). [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Anda akan mengenali VPC default, karena namanya selalu menyertakan kata *(default)* di akhir nama.
Saat Anda menyiapkan zona landing zone AWS Control Tower, AWS Control Tower menghapus VPC AWS default Anda dan membuat VPC default AWS Control Tower baru. VPC baru dikaitkan dengan akun manajemen AWS Control Tower Anda. Topik ini mengacu pada VPC baru itu sebagai VPC *Control Tower*.
Saat Anda melihat AWS Control Tower VPC di konsol VPC Amazon, Anda *tidak* akan melihat kata *(default)* di akhir nama. Jika Anda memiliki lebih dari satu VPC, Anda harus menggunakan rentang CIDR yang ditetapkan untuk mengidentifikasi VPC AWS Control Tower yang benar.
Anda dapat menghapus AWS Control Tower VPC, tetapi jika nanti Anda memerlukan VPC di AWS Control Tower, Anda harus membuatnya sendiri.
**Untuk menghapus AWS Control Tower VPC**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Cari **VPC** atau pilih **VPC** dari opsi Service Catalog. Anda kemudian melihat Dasbor **VPC**.
1. Dari menu di sebelah kiri, pilih **Your VPCs**. Anda kemudian melihat daftar semua Anda VPCs.
1. Identifikasi AWS Control Tower VPC berdasarkan rentang CIDR-nya.
1. Untuk menghapus VPC, pilih **Tindakan** dan kemudian pilih Hapus **VPC**.
VPC AWS *(default)* sudah ada di setiap Wilayah untuk akun manajemen AWS Control Tower. Untuk mengikuti praktik terbaik keamanan, jika Anda memilih untuk menghapus AWS Control Tower VPC, sebaiknya hapus AWS VPC default yang terkait dengan akun manajemen dari semua Wilayah. AWS Oleh karena itu, untuk mengamankan akun manajemen, hapus VPC default dari setiap Wilayah, serta menghapus VPC yang dibuat oleh Control Tower di wilayah asal AWS Control Tower Anda.
## Secara opsional membersihkan sumber daya VPC di akun
Secara opsional, untuk membersihkan sumber daya AWS Control Tower VPC`aws-controltower-VPC`, dari akun yang ada, Anda dapat menghapus instance stack dari AWS CloudFormation StackSet`AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`, setelah Anda memastikan bahwa tidak ada sumber daya atau dependensi sumber daya yang ada di VPC.
## Membuat Akun di AWS Control Tower Tanpa VPC
Jika beban kerja pengguna akhir Anda tidak diperlukan VPCs, Anda dapat menggunakan metode ini untuk menyiapkan akun pengguna akhir yang tidak membuatnya secara otomatis. VPCs
Dari dasbor AWS Control Tower, Anda dapat melihat dan mengedit pengaturan konfigurasi jaringan. Setelah Anda mengubah pengaturan sehingga akun AWS Control Tower dibuat tanpa VPC terkait, semua akun baru dibuat tanpa VPC hingga Anda mengubah pengaturan lagi.
**Untuk mengkonfigurasi Account Factory untuk membuat akun tanpa VPCs**
1. Buka browser web, dan navigasikan ke konsol AWS Control Tower di [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower).
1. Pilih **Account Factory** dari menu di sebelah kiri.
1. Anda kemudian melihat halaman Account Factory dengan bagian **Network Configuration**.
1. Perhatikan pengaturan saat ini jika Anda bermaksud memulihkannya nanti.
1. Pilih tombol **Edit** di bagian **Konfigurasi Jaringan**.
1. Di halaman **konfigurasi jaringan pabrik Edit akun**, buka bagian **opsi Konfigurasi VPC untuk akun baru**.
Anda dapat mengikuti **Opsi 1** atau **Opsi 2**, atau keduanya, untuk memastikan AWS Control Tower tidak membuat VPC saat menyediakan akun.
1.
**Opsi 1 - Menghapus subnet**
+ Matikan sakelar sakelar sakelar **subnet yang dapat diakses Internet**.
+ Atur **jumlah maksimum nilai subnet pribadi** ke 0.
1.
**Opsi 2 - Menghapus AWS Wilayah**
+ Hapus setiap kotak centang di kolom **Regions for VPC creation**.
1. Pilih **Simpan**.
### Kemungkinan Kesalahan
Perhatikan kemungkinan kesalahan ini yang dapat terjadi saat Anda menghapus AWS Control Tower VPC atau mengonfigurasi ulang Account Factory untuk membuat akun tanpanya. VPCs
+ *Akun manajemen Anda yang ada mungkin memiliki dependensi atau sumber daya di AWS Control Tower VPC, yang dapat menyebabkan kesalahan kegagalan penghapusan.*
+ Jika Anda membiarkan CIDR default di tempat saat mengatur untuk meluncurkan akun baru tanpa VPC, permintaan Anda gagal dengan kesalahan *bahwa CIDR* tidak valid.
# Panduan: Mengatur Grup Keamanan di AWS Control Tower Dengan AWS Firewall Manager
Video menunjukkan kepada Anda cara menggunakan layanan AWS Firewall Manager untuk memberikan peningkatan keamanan jaringan Anda untuk AWS Control Tower. Anda dapat menetapkan akun administrator keamanan yang diaktifkan untuk menyiapkan grup keamanan. Anda akan melihat bagaimana Anda dapat mengonfigurasi kebijakan keamanan dan menerapkan aturan keamanan untuk organisasi AWS Control Tower Anda, dan bagaimana Anda dapat memulihkan sumber daya yang tidak sesuai dengan menerapkan kebijakan secara otomatis. Anda dapat melihat grup keamanan yang berlaku untuk setiap akun dan sumber daya (seperti instans Amazon EC2) di organisasi Anda.
Anda dapat membuat kebijakan firewall Anda sendiri, atau Anda dapat berlangganan aturan dari vendor tepercaya.
## Mengatur Grup Keamanan Dengan AWS Firewall Manager
Video ini (8:02) menjelaskan cara mengatur keamanan infrastruktur jaringan yang lebih baik untuk sumber daya dan beban kerja Anda di AWS Control Tower. Untuk tampilan yang lebih baik, pilih ikon di sudut kanan bawah video untuk memperbesarnya ke layar penuh. Captioning tersedia.
[](http://www.youtube.com/watch?v=wocz0drq8-8)
Untuk informasi selengkapnya, lihat [dokumentasi tentang cara mengatur AWS WAF](https://docs.aws.amazon.com//waf/latest/developerguide/setting-up-waf.html).