本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 演练
本章包含的演练过程可帮助您使用 AWS Control Tower。
**主题**
+ [演练:从 ALZ 迁移到 AWS Control Tower](alz-to-control-tower.md)
+ [演练:配置不含 VPC 的 AWS Control Tower](configure-without-vpc.md)
+ [删除 AWS Control Tower 资源](walkthrough-delete.md)
+ [演练:使用 AWS Control Tower 中设置安全组 AWS Firewall Manager](firewall-setup-walkthrough.md)
+ [停用 AWS Control Tower 登录区](decommission-landing-zone.md)
# 演练:从 ALZ 迁移到 AWS Control Tower
许多AWS客户已采用 [AWS 着陆区解决方案 (ALZ)](https://aws.amazon.com//solutions/implementations/aws-landing-zone/) 来设置安全、合规的多账户环境AWS。为了减轻管理登录区的负担,AWS创建了名为 AWS Control Tower 的托管服务。
ALZ 没有计划提供其他功能;它仅提供长期支持。因此,建议您从 ALZ 迁移到 AWS Control Tower。本章中链接的博客将引导您了解该迁移的不同注意事项,并说明了如何规划从 ALZ 成功迁移到 AWS Control Tower。
**博客:**[将AWS着陆区解决方案迁移到 AWS Control Tower](https://aws.amazon.com/blogs//mt/migrate-aws-landing-zone-solution-to-aws-control-tower/)
AWS规范性指南提供了更广泛的文档,包括从 ALZ 过渡到 AWS Control Tower 的步骤。从本质上讲,您将基于一系列先决条件,在运行 ALZ 的现有组织中启用 AWS Control Tower 治理。有关信息,请参阅[从AWS着陆区过渡到 AWS Control Tower](https://docs.aws.amazon.com//prescriptive-guidance/latest/aws-control-tower/introduction.html)。
# 演练:配置不含 VPC 的 AWS Control Tower
本主题演示如何配置不含 VPC 的 AWS Control Tower 账户。
如果您的工作负载不需要 VPC,可以执行以下操作:
+ 您可以删除 AWS Control Tower 虚拟私有云(VPC)。此 VPC 是在您设置登录区域时创建的。
+ 您可以更改 Account Factory 设置,以便创建不含关联 VPC 的新 AWS Control Tower 账户。
**重要**
如果您在启用 VPC 互联网访问权限设置的情况下预置 Account Factory 账户,Account Factory 设置会覆盖以下控制设置:[禁止客户管理的 Amazon VPC 实例访问互联网](https://docs.aws.amazon.com//controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access)。要避免为新预置的账户启用互联网访问权限,您必须在 Account Factory 中更改设置。
## 删除 AWS Control Tower VPC
在 AWS Control Tower 之外,每个 AWS 客户都有一个默认 VPC,您可以在亚马逊虚拟私有云(亚马逊 VPC)控制台上查看该默认 VPC,网址为[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。您可以识别出默认 VPC,因为其名称的末尾位置总是包含*(默认值)*字样。
在您设置 AWS Control Tower 着陆区时,AWS Control Tower 会删除您的 AWS 默认 VPC 并创建一个新的 AWS 控制塔默认 VPC。新的 VPC 已与您的 AWS Control Tower 管理账户关联。本主题讨论的是作为 Control Tower VPC** 的新 VPC。
当您在 Amazon VPC 控制台中查看 AWS Control Tower VPC 时,在名称末尾将看不到**(默认值)**字样。如果您有多个 VPC,必须使用分配的 CIDR 范围来识别正确的 AWS Control Tower VPC。
您可以删除 AWS Control Tower VPC,但如果稍后在 AWS Control Tower 中需要一个 VPC,您必须自行创建。
**删除 AWS Control Tower VPC**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在 Service Catalog 选项中搜索 **VPC** 或选择 **VPC**。然后,您可以看到 **VPC 控制面板**。
1. 从左侧菜单中选择 “**你的**” VPCs。然后,您会看到所有内容的清单 VPCs.
1. 通过 AWS Control Tower VPC 的 CIDR 范围来识别它。
1. 要删除 VPC,请选择**操作**,然后选择**删除 VPC**。
AWS Control Tower 管理账户的每个区域中都已存在一个 AWS *(默认)*VPC。为了遵循最佳安全实践,如果您选择删除 AWS Control Tower VPC,则最好同时从所有 AWS 区域中删除与该管理账户关联的 AWS 默认 VPC。因此,为了保护管理账户的安全,请从各个区域中删除默认 VPC,并删除 Control Tower 在您的 AWS Control Tower 主区域中创建的 VPC。
## (可选)清理账户中的 VPC 资源
或者,要清理 AWS Control Tower VPC 资源,在确保 VPC 中没有现有资源或资源依赖关系之后 AWS CloudFormation StackSet`AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`,可以从现有账户中删除堆栈实例。`aws-controltower-VPC`
## 在 AWS Control Tower 中创建一个不含 VPC 的账户
如果您的最终用户工作负载不需要 VPCs,则可以使用此方法来设置未自动为其 VPCs 创建的最终用户帐户。
从 AWS Control Tower 控制面板中,您可以查看和编辑网络配置设置。将设置更改为创建不含关联 VPC 的 AWS Control Tower 账户后,创建的所有新账户都不含 VPC,直到您再次更改设置。
**配置 Account Factory 以创建不带以下条件的账户 VPCs**
1. 打开网络浏览器,然后导航到 [https://console.aws.amazon.com/controltower 上的 AWS Control Tower 控制](https://console.aws.amazon.com/controltower)台。
1. 从左侧菜单中选择 **Account Factory**。
1. 然后,您将看到“Account Factory”页面,其中包含**网络配置**部分。
1. 请记录当前设置(如果您打算以后恢复设置的话)。
1. 在**网络配置**部分中选择**编辑**按钮。
1. 在**编辑 Account Factory 网络配置**页面中,转到**新账户的 VPC 配置选项**部分。
您可以按照**选项 1** 和/或**选项 2** 来确保 AWS Control Tower 在预置账户时不会创建 VPC。
1.
**选项 1 – 删除子网**
+ 关闭**可通过 Internet 访问的子网**切换开关。
+ 将**私有子网的最大数量**值设置为 0。
1.
**选项 2-移除 AWS 区域**
+ 清除**创建 VPC 的区域**列中的每个复选框。
1. 选择**保存**。
### 可能的错误
请注意,当您删除您的 AWS Control Tower VPC 或重新配置 Account Factory 以创建没有 VPCs该虚拟私有云的账户时,可能会发生这些错误。
+ 您的现有主账户可能在 AWS Control Tower VPC 中具有依赖项或资源,而这可能导致删除失败**错误。
+ 如果您在设置时保留默认 CIDR,以便启动不含 VPC 的新账户,则您的请求将失败并出现*该 CIDR 无效*错误。
# 演练:使用 AWS Control Tower 中设置安全组 AWS Firewall Manager
该视频向您展示了如何使用 AWS 防火墙管理器服务来改进 AWS Control Tower 的网络安全。可以指定已启用的安全管理员账户来设置安全组。您将了解如何为 AWS Control Tower 组织配置安全策略和实施安全规则,以及如何通过自动应用策略来修复不合规的资源。您可以查看适用于组织中的每个账户和资源(如 Amazon EC2 实例)的安全组。
您可以创建自己的防火墙策略,也可以从受信任的供应商处订阅规则。
## 使用 Fi AWS rewall Manager 设置安全组
本视频(8:02)介绍了如何为 AWS Control Tower 中的资源和工作负载提高网络基础设施安全性。为了更好地观看,请选择视频右下角的图标以将其放大为全屏。可以使用字幕。
[](http://www.youtube.com/watch?v=wocz0drq8-8)
有关更多信息,请参阅[有关如何设置 AWS WAF 的文档](https://docs.aws.amazon.com//waf/latest/developerguide/setting-up-waf.html)。