As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Instruções
Este capítulo contém procedimentos de demonstração que podem ajudar você a usar o AWS Control Tower.
**Tópicos**
+ [Demonstração: mude do ALZ para o AWS Control Tower](alz-to-control-tower.md)
+ [Demonstração: configure o AWS Control Tower sem uma VPC](configure-without-vpc.md)
+ [Remover recursos do AWS Control Tower](walkthrough-delete.md)
+ [Passo a passo: configure grupos de segurança no AWS Control Tower com AWS Firewall Manager](firewall-setup-walkthrough.md)
+ [Descomissionar uma zona de pouso do AWS Control Tower](decommission-landing-zone.md)
# Demonstração: mude do ALZ para o AWS Control Tower
Muitos AWS clientes adotaram a [solução AWS Landing Zone (ALZ)](https://aws.amazon.com//solutions/implementations/aws-landing-zone/) para configurar um ambiente seguro, compatível e com várias AWS contas. Para reduzir a carga de gerenciar uma zona de pouso, a AWS criou o serviço gerenciado chamado AWS Control Tower.
Nenhum recurso adicional está programado para o ALZ; ele está disponível apenas para suporte de longo prazo. Portanto, recomendamos migrar do ALZ para o AWS Control Tower. O blog vinculado a este capítulo explica diferentes considerações sobre essa mudança e explica como você pode planejar uma migração bem-sucedida do ALZ para o AWS Control Tower.
**Blog:** [Migre a solução AWS Landing Zone para o AWS Control Tower](https://aws.amazon.com/blogs//mt/migrate-aws-landing-zone-solution-to-aws-control-tower/)
AWS A orientação prescritiva oferece uma documentação mais extensa, incluindo etapas para a transição do ALZ para o AWS Control Tower. Basicamente, você habilitará a governança do AWS Control Tower em sua organização atual que está executando o ALZ, com base em vários pré-requisitos. Para obter informações, consulte [Transição da zona de AWS pouso para o AWS Control Tower](https://docs.aws.amazon.com//prescriptive-guidance/latest/aws-control-tower/introduction.html).
# Demonstração: configure o AWS Control Tower sem uma VPC
Este tópico descreve como configurar suas contas do AWS Control Tower sem uma VPC.
Se a sua workload não exigir uma VPC:
+ Você poderá excluir a nuvem privada virtual (VPC) do AWS Control Tower. Essa VPC foi criada ao configurar sua zona de destino.
+ Você poderá alterar as configurações do Account Factory para que novas contas do AWS Control Tower sejam criadas sem uma VPC associada.
**Importante**
Se você provisionar contas do Account Factory com as configurações de acesso à internet da VPC habilitadas, essa configuração do Account Factory substituirá o controle [Proibir o acesso à internet para uma instância da Amazon VPC gerenciada por um cliente](https://docs.aws.amazon.com//controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access). Para evitar a habilitação do acesso à internet para contas recém-provisionadas, você deve alterar a configuração no Account Factory.
## Excluir a VPC do AWS Control Tower
Fora da AWS Control Tower, cada AWS cliente tem uma VPC padrão, que você pode ver no console da Amazon Virtual Private Cloud (Amazon VPC) em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Você reconhecerá a VPC padrão, pois seu nome sempre inclui a palavra *(default)* no final do nome.
Quando você configura uma landing zone da AWS Control Tower, a AWS Control Tower exclui sua VPC AWS padrão e cria uma nova VPC padrão da AWS Control Tower. A nova VPC é associada à conta de gerenciamento do AWS Control Tower. Este tópico refere-se a essa nova VPC como a *VPC do Control Tower*.
Ao visualizar a VPC do AWS Control Tower no console da Amazon VPC, você *não* verá a palavra *(padrão)* no final do nome. Se tiver mais de uma VPC, você deverá usar o intervalo CIDR atribuído para identificar a VPC correta do AWS Control Tower.
É possível excluir a VPC do AWS Control Tower, mas se você precisar de uma VPC no AWS Control Tower posteriormente, deverá criá-la por conta própria.
**Como excluir a VPC do AWS Control Tower**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Procure **VPC** ou selecione **VPC** nas opções do Service Catalog. Será exibido o **VPC Dashboard (Painel da VPC)**.
1. No menu à esquerda, escolha **Seu VPCs**. Em seguida, você verá uma lista de todos os seus VPCs.
1. Identifique a VPC do AWS Control Tower por seu intervalo de CIDR.
1. Para excluir a VPC, escolha **Actions (Ações)** e **Delete VPC (Excluir VPC)**.
Já existe uma VPC AWS *(padrão)* em todas as regiões da conta de gerenciamento do AWS Control Tower. Para seguir as melhores práticas de segurança, se você optar por excluir a VPC do AWS Control Tower, é melhor também excluir a AWS VPC padrão associada à conta de gerenciamento de todas as regiões. AWS Portanto, para proteger a conta de gerenciamento, remova a VPC padrão de cada região, além de remover a VPC criada pelo Control Tower na região de origem do AWS Control Tower.
## Opcionalmente, limpe o recurso do VPC na conta
Opcionalmente, para limpar o recurso de VPC do AWS Control Tower`aws-controltower-VPC`, de uma conta existente, você pode remover a instância de pilha AWS CloudFormation StackSet `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1` da, depois de se certificar de que não há recursos ou dependências de recursos existentes na VPC.
## Criar uma conta no AWS Control Tower sem uma VPC
Se suas cargas de trabalho de usuário final não exigirem VPCs, você pode usar esse método para configurar contas de usuário final que não foram VPCs criadas automaticamente para eles.
No painel do AWS Control Tower, é possível visualizar e editar suas definições de configurações de rede. Depois de alterar as configurações para que as contas do AWS Control Tower sejam criadas sem uma VPC associada, todas as novas contas serão criadas sem uma VPC até que você altere as configurações novamente.
**Para configurar o Account Factory para criar contas sem VPCs**
1. Abra um navegador da web e navegue até o console do AWS Control Tower em [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower).
1. Escolha **Account Factory** no menu à esquerda.
1. Será exibida a página do Account Factory com a seção **Configuração de rede**.
1. Observe as configurações atuais caso pretenda restaurá-las posteriormente.
1. Escolha o botão **Edit (Editar)** na seção **Network Configuration (Configuração de rede)**.
1. Na página **Edit account factory network configuration (Editar configuração de rede de fábrica da conta)**, acesse a seção **VPC Configuration options for new accounts (Opções de configuração da VPC para novas contas)**.
Você pode seguir a **Opção 1** ou a **Opção 2**, ou ambas, para garantir que o AWS Control Tower não crie uma VPC ao provisionar uma conta.
1.
**Opção 1: remover sub-redes**
+ Desative o botão de alternância **Internet-accessible subnet (Sub-rede acessível pela Internet)**.
+ Defina o valor **Maximum number of private subnets (Número máximo de sub-redes privadas)** como 0.
1.
**Opção 2 — Remoção de AWS regiões**
+ Desmarque todas as caixas de seleção na coluna **Regions for VPC creation (Regiões para criação de VPC)**.
1. Escolha **Salvar**.
### Possíveis erros
Esteja ciente desses possíveis erros que podem ocorrer quando você exclui sua AWS Control Tower VPC ou reconfigura o Account Factory para criar contas sem ela. VPCs
+ A conta de gerenciamento existente pode ter dependências ou recursos na VPC do AWS Control Tower, o que pode causar um erro de *falha de exclusão*.
+ Se você deixar o CIDR padrão em vigor ao configurar para iniciar novas contas sem uma VPC, sua solicitação falhará com um erro informando que *o CIDR não é válido*.
# Passo a passo: configure grupos de segurança no AWS Control Tower com AWS Firewall Manager
O vídeo mostra como usar o serviço AWS Firewall Manager para oferecer melhorias na segurança da sua rede para o AWS Control Tower. Você pode designar uma conta de administrador de segurança que esteja habilitada para configurar grupos de segurança. Você verá como configurar políticas de segurança e impor regras de segurança para suas organizações do AWS Control Tower, e como corrigir recursos não compatíveis aplicando políticas automaticamente. É possível visualizar os grupos de segurança implementados para cada conta e recurso (como uma instância do Amazon EC2) em sua organização.
Você pode criar as suas próprias políticas de firewall ou assinar regras de fornecedores confiáveis.
## Configurar grupos de segurança com o AWS Firewall Manager
Este vídeo (8:02) descreve como configurar uma segurança da infraestrutura de rede melhor para seus recursos e workloads no AWS Control Tower. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.
[](http://www.youtube.com/watch?v=wocz0drq8-8)
Consulte mais informações na [documentação sobre como configurar o AWS WAF](https://docs.aws.amazon.com//waf/latest/developerguide/setting-up-waf.html).