本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 逐步解說
<a name="walkthroughs"></a>

本章包含逐步解說程序，可協助您使用 AWS Control Tower。

**主題**
+ [逐步解說：從 ALZ 移至 AWS Control Tower](alz-to-control-tower.md)
+ [逐步解說：設定沒有 VPC 的 AWS Control Tower](configure-without-vpc.md)
+ [移除 AWS Control Tower 資源](walkthrough-delete.md)
+ [逐步解說：使用 在 AWS Control Tower 中設定安全群組 AWS Firewall Manager](firewall-setup-walkthrough.md)
+ [停用 AWS Control Tower 登陸區域](decommission-landing-zone.md)

# 逐步解說：從 ALZ 移至 AWS Control Tower
<a name="alz-to-control-tower"></a>

許多 AWS 客戶已採用 [AWS 登陸區域解決方案 (ALZ)](https://aws.amazon.com//solutions/implementations/aws-landing-zone/) 來設定安全、合規的多帳戶 AWS 環境。為了減輕管理登陸區域的負擔， AWS 建立了稱為 AWS Control Tower 的受管服務。

ALZ 沒有排程其他功能；它僅處於長期支援狀態。因此，我們建議您從 ALZ 移至 AWS Control Tower 服務。本章中連結的部落格會逐步解說該移動的不同考量，並說明如何規劃從 ALZ 成功遷移至 AWS Control Tower。

**部落格：**[將 AWS 登陸區域解決方案遷移至 AWS Control Tower](https://aws.amazon.com/blogs//mt/migrate-aws-landing-zone-solution-to-aws-control-tower/)

AWS 方案指引提供更廣泛的文件，包括從 ALZ 轉換至 AWS Control Tower 的步驟。基本上，您將根據多項先決條件，在執行 ALZ 的現有組織中啟用 AWS Control Tower 控管。如需詳細資訊，請參閱[從 AWS 登陸區域轉換至 AWS Control Tower](https://docs.aws.amazon.com//prescriptive-guidance/latest/aws-control-tower/introduction.html)。

# 逐步解說：設定沒有 VPC 的 AWS Control Tower
<a name="configure-without-vpc"></a>

本主題會逐步解說如何在不使用 VPC 的情況下設定 AWS Control Tower 帳戶。

如果您的工作負載不需要 VPC，您可以執行下列動作：
+ 您可以刪除 AWS Control Tower 虛擬私有雲端 (VPC)。此 VPC 是在您設定登陸區域時建立。
+ 您可以變更您的 Account Factory 設定，以便在沒有相關聯 VPC 的情況下建立新的 AWS Control Tower 帳戶。

**重要**  
如果您在啟用 VPC 網際網路存取設定的情況下佈建 Account Factory 帳戶，則該 Account Factory 設定會覆寫控制項 [不允許客戶管理之 Amazon VPC 執行個體的網際網路存取](https://docs.aws.amazon.com//controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access)。若要避免啟用新佈建帳戶的網際網路存取，您必須在 Account Factory 中變更 設定。

## 刪除 AWS Control Tower VPC
<a name="delete-master-vpc"></a>

在 AWS Control Tower 之外，每個 AWS 客戶都有預設 VPC，您可以在 Amazon Virtual Private Cloud (Amazon VPC) 主控台上檢視，網址為 https：//[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。由於其名稱總是在名稱結尾包括此字詞 *(預設)*，因此您將可辨識出預設 VPC。

當您設定 AWS Control Tower 登陸區域時，AWS Control Tower 會刪除您的 AWS 預設 VPC，並建立新的 AWS Control Tower 預設 VPC。新的 VPC 與您的 AWS Control Tower 管理帳戶相關聯。本主題將新的 VPC 稱為 *Control Tower VPC*。

當您在 Amazon VPC 主控台中檢視 AWS Control Tower VPC 時，名稱結尾*不會*看到單字 *（預設）*。如果您有多個 VPC，則必須使用指派的 CIDR 範圍來識別正確的 AWS Control Tower VPC。

您可以刪除 AWS Control Tower VPC，但如果稍後需要 AWS Control Tower 中的 VPC，則必須自行建立。

**刪除 AWS Control Tower VPC**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 從 Service Catalog 選項中搜尋**VPC**或選取 **VPC**。您之後就會看到 **VPC Dashboard (VPC 儀表板)**。

1. 從左側功能表中 , 選擇 **Your VPCs (您的 VPC)**。接著則可看到所有 VPC 的清單。

1. 依其 CIDR 範圍識別 AWS Control Tower VPC。

1. 若要刪除 VPC，並選擇 **Actions (動作)**，然後選擇 **Delete VPC (刪除 VPC)**。

AWS Control Tower 管理帳戶的每個區域中已存在 AWS *（預設）* VPC。若要遵循安全最佳實務，如果您選擇刪除 AWS Control Tower VPC，最好也從所有 AWS 區域刪除與管理帳戶相關聯的 AWS 預設 VPC。因此，為了保護管理帳戶，請移除每個區域的預設 VPC，以及移除您 AWS Control Tower 主區域中 Control Tower 建立的 VPC。

## 選擇性地清除帳戶中的 VPC 資源
<a name="remove-a-vpc"></a>

或者，若要從現有帳戶清除 AWS Control Tower VPC 資源 `aws-controltower-VPC`，您可以在確認 VPC 中沒有現有資源或資源相依性之後`AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`，從 AWS CloudFormation StackSet 中移除堆疊執行個體。

## 在 AWS Control Tower 中建立沒有 VPC 的帳戶
<a name="create-without-vpc"></a>

如果您的最終使用者工作負載不需要 VPCs，您可以使用此方法來設定沒有自動為其建立 VPCs的最終使用者帳戶。

從 AWS Control Tower 儀表板，您可以檢視和編輯網路組態設定。在您變更設定，讓 AWS Control Tower 帳戶在沒有相關聯的 VPC 的情況下建立之後，所有新帳戶都會在沒有 VPC 的情況下建立，直到您再次變更設定為止。



**設定 Account Factory 以建立沒有 VPCs的帳戶**

1. 開啟 Web 瀏覽器，然後導覽至位於 https：//[https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower) 的 AWS Control Tower 主控台。

1. 從左側的選單中選擇 **Account Factory**。

1. 然後，您會看到帳戶工廠頁面與**網路組態**區段。

1. 如果您之後想要還原目前的設定，請記下目前的設定。

1. 選擇**網路組態**區段中的**編輯**按鈕。

1.  在 **Edit account factory network configuration (編輯帳戶團隊網路組態)** 頁面中，前往 **VPC Configuration options for new accounts (新帳戶的 VPC 組態選項)** 區段。

   您可以遵循**選項 1** 或**選項 2** 或兩者，以確保 AWS Control Tower 在佈建帳戶時不會建立 VPC。

   1. 

**選項 1 – 移除子網路**
      + 關閉 **Internet-accessible subnet (可從網際網路存取的子網路)** 切換開關。
      + 將 **Maximum number of private subnets (私有子網路上限)** 的值設為 0。

   1. 

**選項 2 – 移除 AWS 區域**
      + 清除 **Regions for VPC creation (VPC 建立的區域) ** 欄中的每個核取方塊。

1. 選擇**儲存**。

### 可能的錯誤
<a name="error-notes"></a>

請注意，當您刪除 AWS Control Tower VPC 或重新設定 Account Factory 來建立沒有 VPCs的帳戶時，可能會發生這些錯誤。
+ 您現有的管理帳戶在 AWS Control Tower VPC 中可能有相依性或資源，這可能會導致*刪除失敗*錯誤。
+ 如果您在設為啟動沒有 VPC 的新帳戶時，沿用預設的 CIDR，您的請求則會失敗，並出現 *CIDR 無效*的錯誤。

# 逐步解說：使用 在 AWS Control Tower 中設定安全群組 AWS Firewall Manager
<a name="firewall-setup-walkthrough"></a>

此影片說明如何使用 AWS Firewall Manager 服務來改善 AWS Control Tower 的網路安全。您可以指定已啟用的安全管理員帳戶來設定安全群組。您將了解如何為 AWS Control Tower 組織設定安全政策並強制執行安全規則，以及如何透過自動套用政策來修復不合規的資源。您可以檢視組織中每個帳戶和資源 （例如 Amazon EC2 執行個體） 有效的安全群組。

您可以建立自己的防火牆原則，也可以訂閱信任廠商的規則。

## 使用 AWS Firewall Manager 設定安全群組
<a name="firewall-manager-video"></a>

此影片 (8：02) 說明如何為 AWS Control Tower 中的資源和工作負載設定更好的網路基礎設施安全性。若要獲得更佳的觀賞效果，請選取影片右下角的圖示，將影片放大至全螢幕。並提供字幕。

[![AWS Videos](http://img.youtube.com/vi/wocz0drq8-8/0.jpg)](http://www.youtube.com/watch?v=wocz0drq8-8)


如需詳細資訊，請參閱[如何設定 AWS WAF 的文件](https://docs.aws.amazon.com//waf/latest/developerguide/setting-up-waf.html)。