Desmantelar Landing Zone en Control Tower

- Requisitos
- Desmantelar Landing Zone en Control Tower
- Pasos
- Troubleshooting:
- Configuración tras el desmantelamiento de una Landing zone:
- Antes de configurar una nueva Región de AWS.
- Links importantes:

Requisitos

Para poder realizar el desmantelamiento de los servicios de Control Tower, Vamos a necesitar un usuario con permisos de AdministratorAccess para acceder a todos los recursos que se encuentran en la cuenta management (Main).

Usuario de IAM con acceso programático.
Política atachada de AdministratorAccess.

Desmantelar Landing Zone en Control Tower

Si ya no desea utilizar AWS Control Tower o requiere migrar a otra region SSO + CT, la herramienta de desmantelamiento automático limpia los recursos asignados por AWS Control Tower. Para iniciar el proceso de desmantelamiento automatizado, vaya a Configuración de Landing Zone página, seleccione la pestaña de retirada y elija Landing Zone de desmantelamiento.

Pasos

Navega hasta la Configuración de Landing zone página en la consola de AWS Control Tower.
Elija Decommission your landing zone en la sección Decommission your landing zone.
Aparece un cuadro de diálogo en el que se explica la acción que está a punto de realizar, con un proceso de confirmación requerido. Para confirmar su intención de retirada, debe seleccionar todas las casillas y escribir la confirmación según lo solicitado. importante una vez iniciado, El proceso de retirada no se puede deshacer.
Si confirma su intención de desmantelar su zona de aterrizaje, se le redirigirá a la página de inicio de AWS Control Tower mientras se lleve a cabo el desmantelamiento. El proceso puede requerir hasta dos horas.
Cuando se haya desmantelado correctamente, debe eliminar los recursos restantes manualmente antes de configurar una nueva zona de aterrizaje desde la consola de AWS Control Tower. Estos recursos restantes incluyen algunos grupos específicos de Amazon S3, organizaciones yCloudWatchRegistra grupos de registros.

nota
_Estas acciones pueden tener consecuencias importantes para sus actividades de facturación y cumplimiento. Por ejemplo, si no se eliminan estos recursos, se pueden generar cargos inesperados.

Para obtener más información acerca de cómo eliminar recursos manualmente, consulte Acerca de la eliminación de recursos de AWS Control Control Control._

Si tiene la intención de configurar una nueva zona de aterrizaje en un nuevoAWSRegión, sigue este paso adicional. Introduzca el siguiente comando a través de la CLI:

`aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com`

Troubleshooting:

En el caso de presentar alguna inconsistencia, se deben ejecutar los siguentes comandos en la cli (reemplazar accout id y region con la que corresponda):

aws configservice delete-aggregation-authorization --authorized-account-id  --authorized-aws-region

Configuración tras el desmantelamiento de una Landing zone:

Después de retirar la zona de inicio, no podrá ejecutar correctamente la configuración de nuevo hasta que haya finalizado la limpieza manual. Además, sin la limpieza manual de estos recursos restantes, puede incurrir en cargos de facturación inesperados. Debe atender estas cuestiones:

La cuenta de administración de AWS Control Tower forma parte de AWS Control Tower OU raíz. Asegúrese de eliminar estas funciones y políticas de IAM de la cuenta de administración:
Roles:
AWSControlTowerAdmin
AWSControlTowerCloudTrailRole
AWSControlTowerStackSetRole
Políticas:
AWSControlTowerAdminPolicy
AWSControlTowerCloudTrailRolePolicy
AWSControlTowerStackSetRolePolicy

Puede que desee eliminar o actualizar la configuración existente de IAM Identity Center para AWS Control Tower antes de volver a subir una zona de aterrizaje, pero no es necesario que la elimine.

Puede que desee eliminar la VPC creada por AWS Control Tower.
La configuración falla si las direcciones de correo electrónico especificadas para las cuentas de registro o auditoría están asociadas a una cuenta existenteAWScuenta. Puede cerrar elAWScuentas o usa diferentes direcciones de correo electrónico para volver a configurar una zona de destino. Como alternativa, puede reutilizar estas cuentas compartidas existentes, con la función que le permite traer sus propias cuentas de registro y auditoría. Para obtener más información, consulte Consideraciones a la hora de incorporar las cuentas de registro o de seguridad existentes.
La configuración falla si ya existen buckets de Amazon S3 con los siguientes nombres reservados en la cuenta de registro:

`aws-controltower-logs-{accountId}-{region} (utilizado para el bucket de registro).`

`aws-controltower-s3-access-logs-{accountId}-{region} (utilizado para el bucket de acceso de registro).`

Debe cambiar el nombre o quitar estos buckets o usar una cuenta diferente para la cuenta de registro.

La configuración falla si la cuenta de administración tiene el grupo de registro existente,aws-controltower/CloudTrailLogs, enCloudWatchRegistros. Debe cambiar el nombre o quitar el grupo de registro.

Antes de configurar una nueva Región de AWS.

Si tiene la intención de configurar una nueva zona de aterrizaje en un nuevo AWSRegión, sigue estos pasos adicionales.

Introduzca el siguiente comando a través de la CLI:


`aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com`

Consideraciones

Organizatios es un servicio Global
Control Tower es un servicio regional
AWS IAM Identity Center es un servicio regional
No esta disponible en Sao Pablo
Una vez que se despliega, las cuentas se crean SIEMPRE desde Control Tower.
Si hay un SSO existente en otra region, se debe migrar a la region que se desea utilizar primero.
al crear una landing zone de la accout factory o landing zone acelerator el alias del correo no debe superar los 64 caracteres.
Permisson Set tiene un limite de 32 caracteres.