Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Procedure guidate
Questo capitolo contiene procedure dettagliate che possono aiutarti nell'uso di AWS Control Tower.
**Argomenti**
+ [Procedura dettagliata: passaggio da ALZ a AWS Control Tower](alz-to-control-tower.md)
+ [Procedura dettagliata: configura AWS Control Tower senza un VPC](configure-without-vpc.md)
+ [Rimuovi le risorse AWS Control Tower](walkthrough-delete.md)
+ [Procedura dettagliata: configurazione di gruppi di sicurezza in AWS Control Tower con AWS Firewall Manager](firewall-setup-walkthrough.md)
+ [Smantellamento di una landing zone di AWS Control Tower](decommission-landing-zone.md)
# Procedura dettagliata: passaggio da ALZ a AWS Control Tower
Molti AWS clienti hanno adottato la [soluzione AWS Landing Zone (ALZ)](https://aws.amazon.com//solutions/implementations/aws-landing-zone/) per configurare un ambiente sicuro, conforme e multi-account. AWS Per ridurre l'onere della gestione di una landing zone, AWS ha creato il servizio gestito chiamato AWS Control Tower.
Non sono previste funzionalità aggiuntive per ALZ; è disponibile solo per il supporto a lungo termine. Pertanto, ti consigliamo di passare al servizio AWS Control Tower da ALZ. Il blog collegato a questo capitolo illustra diverse considerazioni su questo passaggio e spiega come pianificare una migrazione di successo da ALZ a AWS Control Tower.
**Blog:** [Migra la soluzione AWS Landing Zone su AWS Control](https://aws.amazon.com/blogs//mt/migrate-aws-landing-zone-solution-to-aws-control-tower/) Tower
AWS Prescriptive Guidance offre una documentazione più completa, inclusi i passaggi per la transizione da ALZ a AWS Control Tower. In sostanza, abiliterai la governance di AWS Control Tower nella tua organizzazione esistente che utilizza ALZ, sulla base di una serie di prerequisiti. Per informazioni, consulta [Transitioning from AWS Landing Zone a AWS Control Tower](https://docs.aws.amazon.com//prescriptive-guidance/latest/aws-control-tower/introduction.html).
# Procedura dettagliata: configura AWS Control Tower senza un VPC
Questo argomento spiega come configurare gli account AWS Control Tower senza un VPC.
Se il carico di lavoro non richiede un VPC, puoi procedere come segue:
+ Puoi eliminare il cloud privato virtuale (VPC) di AWS Control Tower. Questo VPC è stato creato al momento della configurazione della zona di atterraggio.
+ Puoi modificare le impostazioni di Account Factory in modo da creare nuovi account AWS Control Tower senza un VPC associato.
**Importante**
Se esegui il provisioning di account Account Factory con le impostazioni di accesso a Internet VPC abilitate, tale impostazione Account Factory ha la precedenza sul controllo Impedisci l'[accesso a Internet per un'istanza Amazon VPC gestita](https://docs.aws.amazon.com//controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access) da un cliente. Per evitare di abilitare l'accesso a Internet per gli account appena assegnati, è necessario modificare l'impostazione in Account Factory.
## Eliminare il VPC AWS Control Tower
Al di fuori di AWS Control Tower, ogni AWS cliente dispone di un VPC predefinito, che puoi visualizzare sulla console Amazon Virtual Private Cloud (Amazon VPC) all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Riconoscerai il VPC predefinito perché il suo nome include sempre il suffisso *(default)*.
Quando configuri una landing zone di AWS Control Tower, AWS Control Tower elimina il tuo VPC AWS predefinito e crea un nuovo VPC predefinito di AWS Control Tower. Il nuovo VPC è associato al tuo account di gestione AWS Control Tower. Questo argomento si riferisce a quel nuovo VPC come *Control Tower VPC*.
Quando visualizzi il tuo VPC AWS Control Tower nella console Amazon VPC, *non* vedrai la parola *(impostazione predefinita)* alla fine del nome. Se disponi di più di un VPC, devi utilizzare l'intervallo CIDR assegnato per identificare il VPC AWS Control Tower corretto.
Puoi eliminare il VPC di AWS Control Tower, ma se in seguito ti servirà un VPC in AWS Control Tower, dovrai crearlo tu stesso.
**Per eliminare il VPC AWS Control Tower**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Cerca **VPC** o seleziona **VPC** dalle opzioni del Service Catalog. Viene quindi visualizzato il **VPC Dashboard (Pannello di controllo VPC)**.
1. Dal menu a sinistra, scegli **Your VPCs**. Vedrai quindi un elenco di tutti i tuoi VPCs.
1. Identifica il VPC AWS Control Tower in base alla sua gamma CIDR.
1. Seleziona il VPC, scegli **Actions (Operazioni)** e quindi **Delete VPC (Elimina VPC)**.
Un VPC AWS *(predefinito)* esiste già in ogni regione per l'account di gestione AWS Control Tower. Per seguire le best practice di sicurezza, se scegli di eliminare il VPC AWS Control Tower, è consigliabile eliminare anche il AWS VPC predefinito associato all'account di gestione da tutte le regioni. AWS Pertanto, per proteggere l'account di gestione, rimuovi il VPC predefinito da ogni regione e rimuovi il VPC creato da Control Tower nella tua regione principale di AWS Control Tower.
## Facoltativamente, pulisci la risorsa VPC nell'account
Facoltativamente, per ripulire la risorsa VPC AWS Control Tower da un account esistente`aws-controltower-VPC`, puoi rimuovere l'istanza dello stack dal AWS CloudFormation StackSet `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1` VPC, dopo esserti assicurato che non vi siano risorse o dipendenze tra le risorse esistenti nel VPC.
## Crea un account in AWS Control Tower senza un VPC
Se i carichi di lavoro degli utenti finali non lo richiedono VPCs, puoi utilizzare questo metodo per configurare account utente finale che non sono stati creati automaticamente per loro. VPCs
Dalla dashboard di AWS Control Tower, puoi visualizzare e modificare le impostazioni delle configurazioni di rete. Dopo aver modificato le impostazioni in modo che gli account AWS Control Tower vengano creati senza un VPC associato, tutti i nuovi account vengono creati senza un VPC finché non si modificano nuovamente le impostazioni.
**Per configurare Account Factory per la creazione di account senza VPCs**
1. Apri un browser Web e accedi alla console AWS Control Tower all'indirizzo [https://console.aws.amazon.com/controltower.](https://console.aws.amazon.com/controltower)
1. Scegli **Account Factory** dal menu a sinistra.
1. Viene quindi visualizzata la pagina Account Factory con la sezione **Configurazione di rete**.
1. Annota le impostazioni correnti qualora desiderassi ripristinarle in un secondo momento.
1. Scegli il pulsante **Edit (Modifica)** nella sezione **Network Configuration (Configurazione di rete)**.
1. Nella pagina **Edit account factory network configuration (Modifica configurazione rete Factory Account)**, vai alla sezione **VPC Configuration options for new accounts (Opzioni di configurazione VPC per i nuovi account)**.
Puoi seguire **l'opzione 1** o l'**opzione 2**, o entrambe, per assicurarti che AWS Control Tower non crei un VPC durante il provisioning di un account.
1.
**Opzione 1: rimozione delle sottoreti**
+ Disattiva l'interruttore **Internet-accessible subnet (Sottorete accessibile a Internet)** .
+ Imposta il valore **Maximum number of private subnets (Numero massimo di sottoreti private)** a 0.
1.
**Opzione 2 — Rimozione delle regioni AWS**
+ Deseleziona tutte le caselle di controllo nella colonna **Regions for VPC creation (Regioni per la creazione di VPC)**.
1. Scegli **Save** (Salva).
### Possibili errori
Tieni presente questi possibili errori che potrebbero verificarsi quando elimini il tuo VPC AWS Control Tower o riconfiguri Account Factory per creare account senza. VPCs
+ L'account di gestione esistente potrebbe avere dipendenze o risorse nel VPC AWS Control Tower, il che può causare *un errore di eliminazione*.
+ Se lasci il CIDR predefinito impostato durante la configurazione per l'avvio di nuovi account senza un VPC, la richiesta ha esito negativo con un errore indicante che *il CIDR non è valido*.
# Procedura dettagliata: configurazione di gruppi di sicurezza in AWS Control Tower con AWS Firewall Manager
Il video mostra come utilizzare il servizio AWS Firewall Manager per migliorare la sicurezza della rete per AWS Control Tower. Puoi designare un account amministratore della sicurezza abilitato per impostare i gruppi di sicurezza. Vedrai come configurare le policy di sicurezza e applicare le regole di sicurezza per le tue organizzazioni AWS Control Tower e come correggere le risorse non conformi applicando automaticamente le policy. Puoi visualizzare i gruppi di sicurezza attivi per ogni account e risorsa (come un'istanza Amazon EC2) nella tua organizzazione.
Puoi creare policy di firewall personalizzate oppure sottoscrivere le regole di fornitori attendibili.
## Configurazione di gruppi di sicurezza con AWS Firewall Manager
Questo video (8:02) descrive come configurare una migliore sicurezza dell'infrastruttura di rete per le risorse e i carichi di lavoro in AWS Control Tower. Per una migliore visualizzazione, seleziona l'icona nell'angolo in basso a destra del video per ingrandirlo a schermo intero. È disponibile la didascalia.
[](http://www.youtube.com/watch?v=wocz0drq8-8)
Per ulteriori informazioni, consulta la [documentazione su come configurare AWS WAF](https://docs.aws.amazon.com//waf/latest/developerguide/setting-up-waf.html).