View a markdown version of this page

Tarefas de limpeza manual necessárias após a desativação - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tarefas de limpeza manual necessárias após a desativação

Esta seção lista as tarefas de limpeza manual que você deve executar após a etapa inicial de descomissionamento.

  • Você deverá especificar endereços de e-mail diferentes para as contas de auditoria e de arquivamento de logs se criar uma zona de pouso após desativar uma, ou siga o procedimento para trazer suas próprias contas de auditoria e de arquivamento de logs.

  • O grupo de CloudWatch registros de registrosaws-controltower/CloudTrailLogs,, deve ser excluído manualmente antes de você configurar outra landing zone.

  • Os dois buckets do Amazon S3 com nomes reservados para logs devem ser removidos ou renomeados manualmente.

  • Você deve excluir ou renomear manualmente as unidades organizacionais de Segurança e Sandbox existentes.

    nota

    Antes de excluir a organização da UO de segurança do AWS Control Tower, você deve primeiro excluir as contas de auditoria e registro em log, mas não a conta de gerenciamento. Para excluir essas contas, você deve Quando fazer login como usuário-raiz na conta de auditoria e na conta de registro e excluí-las individualmente.

  • Talvez você queira excluir manualmente a configuração Centro de Identidade do AWS IAM (do IAM Identity Center) do AWS Control Tower, mas você pode continuar com a configuração atual do IAM Identity Center.

  • Talvez você queira remover a VPC criada pelo AWS Control Tower e remover o conjunto de AWS CloudFormation pilhas associado.

  • Antes de configurar um novo landing zone em uma nova AWS região, você deve seguir estas etapas adicionais.

    • Insira o seguinte comando pela CLI:

      aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com

    • Exclua a regra gerenciada restante, chamadaAWSControlTowerManagedRule, das contas compartilhadas e membros de todas as regiões governadas. AWSControlTowerManagedRuleé uma EventBridge regra da Amazon.