Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Außerbetriebnahme einer AWS Control Tower Tower-Landezone
Mit AWS Control Tower können Sie sichere AWS Umgebungen mit mehreren Konten einrichten und verwalten, die als Landing Zones bezeichnet werden. Der Vorgang der Bereinigung aller vom AWS Control Tower zugewiesenen Ressourcen wird als *Außerbetriebnahme* einer landing zone bezeichnet.
Wenn Sie AWS Control Tower nicht mehr verwenden möchten, bereinigt das automatisierte Tool zur Außerbetriebnahme die von AWS Control Tower zugewiesenen Ressourcen. Um den automatisierten Außerbetriebnahmeprozess zu starten, navigieren Sie zur Seite **landing zone Settings**, wählen Sie die Registerkarte Außerbetriebnahme und anschließend Landingzone außer Betrieb nehmen**.**
Eine Liste der während der Außerbetriebnahme durchgeführten Aktionen finden Sie unter. [Überblick über den Außerbetriebnahmeprozess](decommissioning-process-overview.md)
**Warnung**
Das manuelle Löschen all Ihrer AWS Control Tower Tower-Ressourcen ist nicht dasselbe wie eine Außerbetriebnahme. Sie können damit keine neue landing zone einrichten.
Ihre Daten und Ihre vorhandenen Daten AWS Organizations werden durch den Stilllegungsprozess auf folgende Weise nicht geändert.
+ AWS Control Tower entfernt nicht Ihre Daten, sondern nur Teile der Landing Zone, die AWS Control Tower erstellte.
+ Nach Abschluss des Außerbetriebnahmevorgangs verbleiben einige Ressourcenartefakte wie Amazon S3 S3-Buckets und Amazon CloudWatch Logs-Protokollgruppen. Diese Ressourcen müssen manuell gelöscht werden, bevor Sie eine weitere Landing Zone einrichten, um mögliche Kosten im Zusammenhang mit dem Beibehalten bestimmter Ressourcen zu vermeiden.
+ Sie können die automatische Außerbetriebnahme nicht verwenden, um eine teilweise eingerichtete Landing Zone zu entfernen. Wenn der Einrichtungsprozess für die Landing Zone fehlschlägt, müssen Sie den Fehlerstatus beheben und die Landing Zone vollständig neu einrichten, um eine automatische Außerbetriebnahme zu ermöglichen. Andernfalls müssen Sie die Ressourcen einzeln löschen.
*Das Außerbetriebnehmen einer Landing Zone ist ein Prozess mit erheblichen Auswirkungen und kann nicht rückgängig gemacht werden.* Die von AWS Control Tower ergriffenen Maßnahmen zur Außerbetriebnahme und die Artefakte, die nach der Außerbetriebnahme verbleiben, werden in den folgenden Abschnitten beschrieben.
**Wichtig**
Wir empfehlen Ihnen dringend, diesen Außerbetriebnahmeprozess nur dann durchzuführen, wenn Sie beabsichtigen, Ihre Landing Zone nicht mehr zu verwenden. Es ist nicht möglich, Ihre bestehende Landing Zone neu zu erstellen, nachdem Sie sie außer Betrieb genommen haben.
# Überblick über den Außerbetriebnahmeprozess
Wenn Sie die Außerbetriebnahme Ihrer landing zone beantragen, führt AWS Control Tower die folgenden Aktionen aus.
+ Deaktiviert jede Detective Control, die in der landing zone aktiviert ist. AWS Control Tower löscht die CloudFormation Ressourcen, die die Steuerung unterstützen.
+ Deaktiviert jede präventive Kontrolle, indem die Richtlinien zur Servicekontrolle (SCPs) von entfernt werden. AWS Organizations Wenn eine Richtlinie leer ist (was sie auch sein sollte, nachdem alle von AWS Control Tower SCPs verwalteten Richtlinien entfernt wurden), trennt AWS Control Tower die Richtlinie und löscht sie vollständig.
+ Löscht alle Blueprints, die bereitgestellt werden als. CloudFormation StackSets
+ Löscht alle Blueprints, die als CloudFormation Stacks in allen Regionen bereitgestellt wurden.
+ Für jedes bereitgestellte Konto führt AWS Control Tower während der Außerbetriebnahme die folgenden Aktionen durch.
+ Es werden die Datensätze jedes Account Factory-Kontos gelöscht.
+ Widerruft die AWS Control Tower-Berechtigungen für das Konto, indem die von AWS Control Tower erstellte IAM-Rolle entfernt wird (sofern ihr keine zusätzlichen Richtlinien hinzugefügt wurden) und die `OrganizationsFullAccessRole` Standard-IAM-Rolle neu erstellt.
+ Entfernt Aufzeichnungen des Kontos von. AWS Service Catalog
+ Es wird das Account Factory-Produkt und Portfolio von AWS Service Catalog entfernt.
+ Löscht die Blueprints für die gemeinsamen Konten (Audit und Log Archive).
+ Widerruft die AWS Control Tower-Berechtigungen für die gemeinsam genutzten Konten, indem die von AWS Control Tower erstellte IAM-Rolle entfernt wird (sofern ihr keine zusätzlichen Richtlinien hinzugefügt wurden) und die `OrganizationsFullAccessRole` IAM-Rolle neu erstellt.
+ Löscht Datensätze, die sich auf die gemeinsamen Konten beziehen.
+ Löscht Datensätze, die sich auf vom Kunden erstellte beziehen. OUs
+ Es werden die internen Datensätze gelöscht, mit denen die „Home“-Region identifiziert wird.
**Anmerkung**
Nach der Außerbetriebnahme können Sie die Account Factory VPC-Vorlage (`BP_ACCOUNT_FACTORY_VPC`) entfernen, um die Routen und NAT-Gateways zu bereinigen, wenn Ihre VPC nicht leer war.
# Wie man eine landing zone außer Betrieb nimmt
Gehen Sie wie hier beschrieben vor, um Ihre AWS Control Tower Tower-Landezone von der Konsole aus außer Betrieb zu nehmen.
**Anmerkung**
Wir empfehlen Ihnen, die Verwaltung Ihrer registrierten Konten vor der Außerbetriebnahme aufzuheben.
1. Navigieren Sie in der AWS Control Tower Tower-Konsole zur Seite **Landing Zone Settings**.
1. Wählen Sie im **Abschnitt landing zone stilllegen** die Option **landing zone außer** Betrieb setzen.
1. Es erscheint ein Dialog mit einem erforderlichen Bestätigungsvorgang, in dem die Aktion, die Sie durchführen wollen, erklärt wird. Um zu bestätigen, dass die gewünschte Außerbetriebnahme erfolgen soll, müssen Sie jedes Feld markieren und die Bestätigung wie gewünscht eingeben.
**Wichtig**
*Der Außerbetriebnahmeprozess kann nicht rückgängig gemacht werden.*
1. Wenn Sie Ihre Absicht bestätigen, Ihre landing zone Betrieb zu nehmen, werden Sie während der Außerbetriebnahme auf die AWS Control Tower Tower-Startseite weitergeleitet. Der Prozess kann bis zu zwei Stunden dauern.
1. Wenn die Außerbetriebnahme erfolgreich war, müssen Sie die verbleibenden Ressourcen manuell löschen, bevor Sie über die AWS Control Tower Tower-Konsole eine neue landing zone einrichten. Zu diesen verbleibenden Ressourcen gehören einige spezifische Amazon S3 S3-Buckets, Organisationen und CloudWatch Logs-Protokollgruppen.
**Anmerkung**
*Diese Maßnahmen können erhebliche Auswirkungen auf Ihre Abrechnungs- und Compliance-Aktivitäten haben. Wenn diese Ressourcen beispielsweise nicht gelöscht werden, kann dies zu unerwarteten Gebühren führen.*
Weitere Informationen zum manuellen Löschen von Ressourcen finden Sie unter [Über das Entfernen von AWS Control Tower Tower-Ressourcen](walkthrough-delete.md#manual-decommissioning).
1. Wenn Sie beabsichtigen, eine neue landing zone in einer neuen AWS Region einzurichten, folgen Sie diesem zusätzlichen Schritt. Geben Sie den folgenden Befehl über die CLI ein:
```
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
```
# Nehmen Sie Ihre landing zone außer Betrieb mit APIs
Der Vorgang der Säuberung aller Ressourcen einer landing zone wird als *Stilllegung einer Landezone* bezeichnet.
**Wichtig**
Wir empfehlen Ihnen dringend, diesen Außerbetriebnahmeprozess nur dann durchzuführen, wenn Sie beabsichtigen, Ihre Landing Zone nicht mehr zu verwenden. Es ist nicht möglich, Ihre bestehende Landing Zone neu zu erstellen, nachdem Sie sie außer Betrieb genommen haben.
Weitere Informationen zur Außerbetriebnahme einer landing zone, einschließlich wichtiger Informationen darüber, wie AWS Control Tower mit Ihren und bestehenden Daten umgeht AWS Organizations, finden Sie unter. [Außerbetriebnahme einer AWS Control Tower Tower-Landezone](decommission-landing-zone.md)
Rufen Sie `DeleteLandingZone` API auf, um eine landing zone außer Betrieb zu nehmen. Diese API gibt eine zurück`OperationIdentifier`, die Sie dann verwenden können, wenn Sie die `GetLandingZoneOperation` API aufrufen, um den Status des Löschvorgangs zu überprüfen.
```
aws controltower delete-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H"
```
**Ausgabe:**
```
{
"operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```
# Nach der Außerbetriebnahme sind manuelle Aufräumarbeiten erforderlich
In diesem Abschnitt werden manuelle Bereinigungsaufgaben aufgeführt, die Sie nach dem ersten Schritt der Außerbetriebnahme ausführen müssen.
+ Sie müssen unterschiedliche E-Mail-Adressen für die Konten Log Archive und Audit angeben, wenn Sie nach der Außerbetriebnahme eine neue landing zone einrichten, oder Sie müssen das Verfahren befolgen, um Ihre eigenen bestehenden Log-Archiv- oder Audit-Konten mitzunehmen.
+ Die Protokollgruppe CloudWatch Logs,`aws-controltower/CloudTrailLogs`, muss manuell gelöscht werden, bevor Sie eine weitere landing zone einrichten.
+ Die beiden Amazon S3 S3-Buckets mit reservierten Namen für Protokolle müssen manuell entfernt oder umbenannt werden.
+ Sie müssen die vorhandenen **Security** - und **Sandbox-Organisationseinheiten** manuell löschen oder umbenennen.
**Anmerkung**
Bevor Sie die Organisation der AWS Control Tower **Security OU** löschen können, müssen Sie zunächst die Protokollierungs- und Auditkonten löschen, nicht jedoch das Verwaltungskonto. Um diese Konten zu löschen, müssen Sie die [Wann sollten Sie sich als Root-Benutzer anmelden](root-login.md) beim Prüfungskonto und Protokollierungskonto vornehmen und diese einzeln löschen.
+ Möglicherweise möchten Sie die AWS IAM Identity Center (IAM Identity Center) -Konfiguration für AWS Control Tower manuell löschen, aber Sie können mit der vorhandenen IAM Identity Center-Konfiguration fortfahren.
+ Möglicherweise möchten Sie die von AWS Control Tower erstellte VPC und das zugehörige AWS CloudFormation Stack-Set entfernen.
+ Bevor Sie eine neue landing zone in einer neuen AWS Region einrichten können, müssen Sie die folgenden zusätzlichen Schritte ausführen.
+ Geben Sie den folgenden Befehl über die CLI ein:
```
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
```
+ Löschen Sie die verbleibende verwaltete Regel (genannt`AWSControlTowerManagedRule`) aus den gemeinsamen Konten und Mitgliedskonten für alle verwalteten Regionen. `AWSControlTowerManagedRule`ist eine EventBridge Amazon-Regel.
# Ressourcen, die bei der Außerbetriebnahme nicht entfernt wurden
Durch die Außerbetriebnahme einer landing zone wird der Einrichtungsprozess von AWS Control Tower nicht vollständig rückgängig gemacht. Bestimmte Ressourcen bleiben erhalten, die manuell entfernt werden können.
**AWS Organizations**
Für Kunden ohne bestehende AWS Organizations Organisationen richtet AWS Control Tower eine Organisation mit einer oder mehreren Organisationseinheiten ein (OUs). Die angegebene **Sicherheits-OU** und optional die erstellte **Sandbox-OU**. Beim Bereitstellen Ihrer Landing Zone wird die Hierarchie der Organisation wie folgt beibehalten:
+ Organisationseinheiten (OUs), die Sie über die AWS Control Tower Tower-Konsole erstellt haben, werden nicht entfernt.
+ Die Sicherheit und die Sandbox OUs werden nicht entfernt.
+ Die Organisation wurde nicht aus AWS Organizations gelöscht.
+ Es werden keine Konten in AWS Organizations (gemeinsam genutzt, bereitgestellt oder verwaltet) verschoben oder entfernt.
**AWS IAM Identity Center (SSO)**
Für Kunden ohne vorhandenes IAM Identity Center-Verzeichnis richtet AWS Control Tower das IAM Identity Center ein und konfiguriert ein erstes Verzeichnis. Wenn Sie Ihre landing zone außer Betrieb nehmen, nimmt AWS Control Tower keine Änderungen am IAM Identity Center vor. Bei Bedarf können Sie die in Ihrem Verwaltungskonto gespeicherten IAM Identity Center-Informationen manuell löschen. Durch die Außerbetriebnahme bleiben insbesondere diese Bereiche unverändert:
+ Benutzer, die mit Account Factory angelegt wurden, werden nicht entfernt.
+ Gruppen, die durch das AWS Control Tower Tower-Setup erstellt wurden, werden nicht entfernt.
+ Von AWS Control Tower erstellte Berechtigungssätze werden nicht entfernt.
+ Verknüpfungen zwischen AWS Konten und IAM Identity Center-Berechtigungssätzen werden nicht entfernt.
+ Die IAM Identity Center-Verzeichnisse werden nicht geändert.
+ Diese IAM Identity Center-Richtlinien für AWS Control Tower werden nicht entfernt:
+ `AWSControlTowerAdminPolicy`
+ `AWSControlTowerCloudTrailRolePolicy`
+ `AWSControlTowerStackSetRolePolicy`
**Rollen**
Während der Einrichtung erstellt AWS Control Tower bestimmte Rollen für Sie, wenn Sie die Konsole verwenden, oder es fordert Sie auf, diese Rollen zu erstellen, wenn Sie Ihre landing zone über die einrichten APIs. Wenn Sie Ihre landing zone außer Betrieb nehmen, werden die folgenden Rollen nicht entfernt:
+ `AWSControlTowerAdmin`
+ `AWSControlTowerCloudTrailRole`
+ `AWSControlTowerStackSetRole`
+ `AWSControlTowerConfigAggregatorRoleForOrganizations`
**Anmerkung**
Die `AWSControlTowerExecution` Rolle in den Mitgliedskonten wird gelöscht, wenn die landing zone gelöscht wird, unabhängig davon, ob AWS Control Tower die Rolle in Ihrem Namen erstellt hat oder ob Sie die Rolle manuell erstellt haben. Wenn Sie dieser Rolle jedoch zusätzliche Richtlinien angehängt oder die mit dieser Rolle verknüpften Richtlinien geändert haben, kann AWS Control Tower diese Rolle während des Löschens der Landing Zone möglicherweise nicht löschen. In solchen Fällen ist das Löschen der Landing Zone erfolgreich, aber die Rolle bleibt in Ihrem Mitgliedskonto erhalten.
**Amazon-S3-Buckets**
Während der Einrichtung erstellt AWS Control Tower Buckets im Protokollarchivkonto für AWS CloudTrail und im Config Central Aggregator-Konto für die AWS Config-Integration. AWS Control Tower erstellt Buckets für die Protokollierung und für die Protokollierung des Zugriffs in jedem dieser Konten. Bei der Außerbetriebnahme Ihrer Landing Zone werden die folgenden Ressourcen nicht entfernt:
+ S3-Buckets für die Protokollierung und Protokollierung des Zugriffs im Protokollarchivkonto werden nicht entfernt.
+ Die S3-Buckets für die Protokollierung und Protokollierung des Zugriffs im Config Central Aggregator-Konto werden nicht entfernt.
+ Der Inhalt der Zugriffs-Buckets für Protokollierung und Protokollierung in jedem dieser Konten wird nicht entfernt.
**Konten zur Serviceintegration**
Für AWS Control Tower muss jede Service-Integrationskonfiguration über ein zentrales Konto verfügen. Dieses Konto kann während der Einrichtung von AWS Control Tower basierend auf der landing zone Zone-Version erstellt werden oder auch nicht. Dies geschieht, wenn Sie Ihre Landing Zone außer Betrieb nehmen:
+ Serviceintegrationskonten, die während der Einrichtung von AWS Control Tower erstellt wurden, werden nicht geschlossen.
+ Die `OrganizationAccountAccessRole` IAM-Rolle wird neu erstellt, um sie an die AWS Organizations Standardkonfiguration anzupassen.
+ Die `AWSControlTowerExecution`-Rolle wird entfernt.
**Bereitgestellte Konten**
AWS Control Tower Tower-Kunden können Account Factory verwenden, um neue AWS Konten zu erstellen. Dies geschieht, wenn Sie Ihre Landing Zone außer Betrieb nehmen:
+ Bereitgestellte Konten, die Sie mit Account Factory erstellt haben, werden nicht geschlossen.
+ Bereitgestellte Produkte AWS Service Catalog werden nicht entfernt. Wenn Sie diese löschen, indem Sie sie kündigen, werden ihre Konten in die **Root-Organisationseinheit** verschoben.
+ Die von AWS Control Tower erstellte VPC wird nicht entfernt, und das zugehörige AWS CloudFormation Stack-Set (`BP_ACCOUNT_FACTORY_VPC`) wird nicht entfernt.
+ Die `OrganizationAccountAccessRole` IAM-Rolle wird neu erstellt, um sie an die Standardkonfiguration anzupassen. AWS Organizations
+ Die `AWSControlTowerExecution`-Rolle wird entfernt.
**CloudWatch Logs Protokollgruppe**
+ Eine CloudWatch Logs-Protokollgruppe`aws-controltower/CloudTrailLogs`,, wird als Teil des genannten `AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER` Blueprints erstellt. Diese Protokollgruppe wird nicht entfernt. Stattdessen wird die Vorlage gelöscht und die Ressourcen bleiben erhalten.
**Anmerkung**
Kunden mit landing zone 3.0 und höher müssen die CloudTrail Logs und CloudTrail Log-Rollen ihres individuellen registrierten Accounts nicht löschen, da diese nur im Verwaltungskonto für den Trail auf Organisationsebene erstellt werden.
Ab landing zone Version 3.2 erstellt AWS Control Tower eine EventBridge Amazon-Regel namens`AWSControlTowerManagedRule`. Diese Regel wird in jedem Mitgliedskonto für alle regulierten Regionen erstellt. Die Regel wird bei der Außerbetriebnahme nicht automatisch gelöscht. Sie müssen sie daher manuell aus den Serviceintegrationskonten und Mitgliedskonten aller verwalteten Regionen löschen, bevor Sie eine landing zone in einer neuen Region einrichten können.
Verfahren zum Löschen von AWS Control Tower Tower-Ressourcen finden Sie unter[AWS Control Tower Tower-Ressourcen entfernen](walkthrough-delete.md).
# AWS Control Tower Tower-Ressourcen entfernen
Dieses Dokument enthält Anweisungen zum individuellen Entfernen von AWS Control Tower Tower-Ressourcen im Rahmen regulärer Wartungs- und Verwaltungsaufgaben. Die in diesem Kapitel beschriebenen Verfahren dienen nur dazu, einzelne Ressourcen oder einige Ressourcen bei Bedarf zu entfernen. Es ist nicht dasselbe wie die Außerbetriebnahme Ihrer landing zone.
**Bei zwei Arten von Aufgaben müssen Sie möglicherweise Ressourcen entfernen:**
+ Um Ressourcen zu löschen, während Sie Ihre Landing Zone in gewöhnlichen Situationen verwalten.
+ Um Ressourcen zu bereinigen, die nach der automatisierten Außerbetriebnahme noch vorhanden sind.
**Warnung**
Wenn Sie Ressourcen manuell entfernen, können Sie keine neue landing zone einrichten. Das ist nicht dasselbe wie die Außerbetriebnahme. Wenn Sie beabsichtigen, Ihre AWS Control Tower Tower-Landezone landing zone zu nehmen, folgen Sie den Anweisungen unter, [Außerbetriebnahme einer AWS Control Tower Tower-Landezone](decommission-landing-zone.md) bevor Sie die in diesem Kapitel beschriebenen Maßnahmen ergreifen. Die Anweisungen in diesem Kapitel können Ihnen dabei helfen, Ressourcen zu bereinigen, die nach Abschluss der automatisierten Außerbetriebnahme noch vorhanden sind. Selbst wenn Sie alle Ressourcen Ihrer landing zone manuell löschen, ist dies nicht dasselbe wie die Außerbetriebnahme der landing zone, und es können unerwartete Kosten anfallen.
Wenn Sie ein Konto aus AWS Control Tower entfernen müssen, lesen Sie die folgenden Abschnitte, um ein Konto zu schließen:
+ [Verwaltung eines Kontos aufheben](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html)
+ [Schließen Sie ein in Account Factory erstelltes Konto](https://docs.aws.amazon.com/controltower/latest/userguide/delete-account.html)
## Muss ich außer Betrieb nehmen, anstatt zu löschen?
Wenn Sie nicht mehr beabsichtigen, AWS Control Tower für Ihr Unternehmen zu verwenden, oder wenn Sie eine größere Umschichtung Ihrer Unternehmensressourcen benötigen, möchten Sie möglicherweise die Ressourcen außer Betrieb nehmen, die bei der ursprünglichen Einrichtung Ihrer landing zone erstellt wurden.
+ Nach Abschluss des Außerbetriebnahmevorgangs verbleiben einige Ressourcenartefakte wie Amazon S3 S3-Buckets und Amazon CloudWatch Logs-Protokollgruppen.
+ Sie müssen die verbleibenden Ressourcen in Ihren Konten manuell bereinigen, bevor Sie eine weitere landing zone einrichten, um die Möglichkeit unerwarteter Gebühren zu vermeiden. Weitere Informationen finden Sie unter [Ressourcen, die bei der Außerbetriebnahme nicht entfernt wurden](resources-not-removed.md).
**Warnung**
Wir empfehlen Ihnen dringend, *nur dann eine Außerbetriebnahme durchzuführen, wenn* Sie beabsichtigen, Ihre landing zone nicht mehr zu nutzen. Dieser Vorgang kann nicht rückgängig gemacht werden.
## Über das Entfernen von AWS Control Tower Tower-Ressourcen
Die einzelnen Verfahren in diesem Kapitel führen Sie durch die manuellen Methoden zum Entfernen von AWS Control Tower Tower-Ressourcen. Diese Verfahren können befolgt werden, wenn Sie eine bestimmte Ressource aus Ihrer landing zone löschen müssen.
Bevor Sie diese Verfahren durchführen können, müssen Sie, sofern nicht anders angegeben, AWS-Managementkonsole in der Heimatregion für Ihre landing zone angemeldet sein und Sie müssen als IAM-Benutzer oder Benutzer in IAM Identity Center mit Administratorberechtigungen für das Verwaltungskonto angemeldet sein, das Ihre landing zone enthält.
**Warnung**
Dabei handelt es sich um destruktive Aktionen, die dazu führen können, dass die Steuerung Ihres AWS Control Tower Tower-Setups beeinträchtigt wird. Sie können nicht rückgängig gemacht werden.
**Topics**
+ [Muss ich außer Betrieb nehmen, anstatt zu löschen?](#about-decommissioning)
+ [Über das Entfernen von AWS Control Tower Tower-Ressourcen](#manual-decommissioning)
+ [Löschen SCPs](controltower-walkthrough-delete-scps.md)
+ [Löschen und Stapel StackSets](controltower-walkthrough-delete-stacksets.md)
+ [Löschen Sie Amazon S3 S3-Buckets im Log Archive-Konto](controltower-walkthrough-delete-s3-buckets.md)
+ [Ein Konto entfernen, ein Factory-Portfolio und ein Produkt](controltower-walkthrough-cleanup-account-factory.md)
+ [Rollen und Richtlinien von AWS Control Tower entfernen](controltower-walkthrough-cleanup-identity.md)
+ [Hilfe zu den Ressourcen von AWS Control Tower](#control-tower-cleanup-help)
# Löschen SCPs
AWS Control Tower verwendet Service Control Policies (SCPs) für seine Kontrollen. In diesem Verfahren wird beschrieben, wie Sie die SCPs speziell mit AWS Control Tower verbundenen Dateien löschen.
**Um zu löschen AWS Organizations SCPs**
1. Öffnen Sie die Organisationskonsole unter [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).
1. Öffnen Sie die Registerkarte **Richtlinien** und suchen Sie nach den Service Control-Richtlinien (SCPs), die das Präfix **aws-guardrails-** haben, und gehen Sie für jeden SCP wie folgt vor:
1. Trennen Sie die SCP von der zugewiesenen Organisationseinheit.
1. Löschen Sie die SCP.
# Löschen und Stapel StackSets
AWS Control Tower verwendet StackSets und stapelt für die Bereitstellung AWS-Config-Regeln von Steuerungen in Ihrer landing zone. Die folgenden Verfahren zeigen, wie Sie diese Ressourcen löschen.
**Um zu löschen CloudFormation StackSets**
1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie im linken Navigationsmenü. **StackSets**
1. Gehen Sie für jeden StackSet mit dem Präfix **AWSControlTower** wie folgt vor. Wenn Sie viele Konten in einem haben StackSet, kann dies einige Zeit dauern.
1. Wählen Sie das spezifische StackSet aus der Tabelle im Dashboard aus. Dadurch wird die Eigenschaftenseite dafür geöffnet StackSet.
1. Notieren Sie sich unten auf der Seite in der Tabelle **Stacks** das AWS Konto IDs für alle Konten in der Tabelle. Kopieren Sie die Liste mit allen Konten.
1. Wählen Sie **unter Aktionen** die Option **Stapel löschen** aus. StackSet
1. Wählen **Sie unter Bereitstellungsoptionen festlegen** unter **Bereitstellungsorte** die Option **Stacks in Konten bereitstellen** aus.
1. Geben Sie in das Textfeld das AWS Konto, für das IDs Sie in Schritt 3.b einen Datensatz erstellt haben, durch Kommas getrennt ein. Beispiel: *123456789012*, *098765431098* usw.
1. Wählen Sie unter **Specify regions (Regionen angeben)** die Option **Add all (Alle auswählen)** aus und behalten Sie für die restlichen Parameter auf der Seite die Standardwerte bei. Wählen Sie dann **Next (Weiter)** aus.
1. Überprüfen Sie auf der Seite **Review (Überprüfen)** Ihre Auswahl und wählen Sie dann **Delete stacks (Stacks löschen)** aus.
1. Auf der **StackSet Eigenschaftenseite** können Sie diesen Vorgang für Ihr anderes Gerät erneut ausführen. StackSets
1. Der Vorgang ist abgeschlossen, wenn die Datensätze in der Tabelle **Stacks** der verschiedenen **StackSets Eigenschaftenseiten** leer sind.
1. **Wenn die Datensätze in der **Stacks-Tabelle** leer sind, wählen Sie Löschen. StackSet**
**Um Stapel zu löschen CloudFormation**
1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. **Suchen Sie im **Stacks-Dashboard** nach allen Stacks mit dem Präfix Tower. AWSControl**
1. Gehen Sie für jeden Stack in der Tabelle wie folgt vor:
1. Aktivieren Sie das Kontrollkästchen neben dem Namen des Stacks.
1. Wählen Sie im Menü **Actions (Aktionen)** die Option **Delete Stack (Stack löschen)** aus.
1. Stellen Sie sicher, dass die Informationen im Dialogfeld, das sich jetzt öffnet, korrekt sind. Wählen Sie dann **Yes, Delete (Ja, löschen)** aus.
# Löschen Sie Amazon S3 S3-Buckets im Log Archive-Konto
Die folgenden Verfahren zeigen Ihnen, wie Sie sich als IAM Identity Center-Benutzer in der **AWSControlTowerExecution**Gruppe beim Protokollarchiv-Konto anmelden und anschließend die Amazon S3 S3-Buckets in Ihrem Protokollarchiv-Konto löschen.
**So melden Sie sich mit den richtigen Berechtigungen bei Ihrem Protokollarchivkonto an**
1. Öffnen Sie die Organisationskonsole unter [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).
1. Suchen Sie auf der Registerkarte **Accounts (Konten)** das Konto **Log archive (Protokollarchiv)**.
1. Notieren Sie im rechten Bereich, der jetzt geöffnet wird, die Nummer des Protokollarchivkontos.
1. Wählen Sie in der Navigationsleiste den Namen Ihres Kontos aus, um das Kontomenü zu öffnen.
1. Wählen Sie **Switch Role**.
1. Geben Sie auf der Seite, die jetzt geöffnet wird, im Feld **Konto** die Nummer des Protokollarchivkontos ein.
1. Geben Sie für **Rolle** den Wert ein **AWSControlTowerExecution**.
1. Nun wird das Feld **Display Name (Anzeigename)** ausgefüllt.
1. Wählen Sie unter **Color (Farbe)** eine Farbe aus.
1. Wählen Sie **Switch Role**.
**So löschen Sie Amazon S3 S3-Buckets**
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Suchen Sie nach Bucket-Namen, die **aws-controltower** enthalten.
1. Gehen Sie für jeden Bucket in der Tabelle wie folgt vor:
1. Wählen Sie das Kontrollkästchen für den Bucket in der Tabelle aus.
1. Wählen Sie **Löschen** aus.
1. Stellen Sie sicher, dass die Informationen im Dialogfeld, das sich jetzt öffnet, korrekt sind. Geben Sie anschließend den Namen des zu bestätigenden Buckets ein und wählen Sie dann **Confirm (Bestätigen)** aus.
# Ein Konto entfernen, ein Factory-Portfolio und ein Produkt
Das folgende Verfahren zeigt Ihnen, wie Sie sich als IAM Identity Center-Benutzer in der **AWSServiceCatalogAdmins**Gruppe anmelden und anschließend Ihr Account Factory Factory-Portfolio und Ihre Produkte bereinigen.
**So melden Sie sich mit den richtigen Berechtigungen bei Ihrem Verwaltungskonto an**
1. Rufen Sie die URL Ihres Benutzerportals unter *directory-id* .awsapps.com/start auf
1. **Suchen Sie unter **AWS Konto nach dem Verwaltungskonto**.**
1. Wählen Sie unter **Managementkonsole** aus **AWSServiceCatalogAdminFullAccess**, um sich AWS-Managementkonsole mit dieser Rolle anzumelden.
**Um Account Factory aufzuräumen**
1. Öffnen Sie die Service Catalog-Konsole unter [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).
1. Klicken Sie im linken Navigationsmenü auf **Portfolios list (Portfolioliste)**.
1. Suchen Sie in der Tabelle **Lokale Portfolios** nach einem Portfolio mit dem Namen **AWS Control Tower Account Factory Portfolio**.
1. Wählen Sie den Namen des Portfolios aus, um seine Detailseite aufzurufen.
1. Erweitern Sie den Abschnitt **Einschränkungen** auf der Seite und wählen Sie das Optionsfeld für die Einschränkung mit dem Produktnamen **AWS Control Tower Account Factory**.
1. Wählen Sie **REMOVE CONSTRAINTS (Einschränkungen entfernen)** aus.
1. Stellen Sie sicher, dass die Informationen im Dialogfeld, das sich jetzt öffnet, korrekt sind. Wählen Sie dann **CONTINUE (Weiter)** aus.
1. Wählen Sie im Bereich **Produkte** der Seite das Optionsfeld für das Produkt **AWS Control Tower Account Factory** aus.
1. Wählen Sie **REMOVE PRODUCT (Produkt entfernen)** aus.
1. Stellen Sie sicher, dass die Informationen im Dialogfeld, das sich jetzt öffnet, korrekt sind. Wählen Sie dann **CONTINUE (Weiter)** aus.
1. Erweitern Sie den Bereich **Users, Groups, and Roles (Benutzer, Gruppen und Rollen)** der Seite und wählen Sie die Kontrollkästchen für alle Einträge in dieser Tabelle aus.
1. Wählen Sie **REMOVE USERS, GROUP OR ROLE (Benutzer, Gruppe oder Rolle entfernen)** aus.
1. Stellen Sie sicher, dass die Informationen im Dialogfeld, das sich jetzt öffnet, korrekt sind. Wählen Sie dann **CONTINUE (Weiter)** aus.
1. Klicken Sie im linken Navigationsmenü auf **Portfolios list (Portfolioliste)**.
1. Suchen Sie in der Tabelle **Lokale Portfolios** nach einem Portfolio mit dem Namen **AWS Control Tower Account Factory Portfolio**.
1. Wählen Sie das Optionsfeld für dieses Portfolio und dann die Option **DELETE-PORTFOLIO (Portfolio löschen)** aus.
1. Stellen Sie sicher, dass die Informationen im Dialogfeld, das sich jetzt öffnet, korrekt sind. Wählen Sie dann **CONTINUE (Weiter)** aus.
1. Klicken Sie im linken Navigationsmenü auf **Product list (Produktliste)**.
1. Suchen Sie auf der **Admin-Produktseite** nach dem Produkt mit dem Namen **AWS Control Tower Account Factory**.
1. Wählen Sie das Produkt aus, um die Seite **Admin product details (Details zu Administratorprodukten)** zu öffnen.
1. Wählen Sie unter **Actions (Aktionen)** die Option **Delete product (Produkt löschen)** aus.
1. Stellen Sie sicher, dass die Informationen im Dialogfeld, das sich jetzt öffnet, korrekt sind. Wählen Sie dann **CONTINUE (Weiter)** aus.
# Rollen und Richtlinien von AWS Control Tower entfernen
Diese Verfahren führen Sie durch die Bereinigung der Rollen und Richtlinien, die AWS Control Tower bei der Einrichtung Ihrer landing zone oder später erstellt hat.
**Um die IAM Identity AWSService CatalogEndUserAccess Center-Rolle zu löschen**
1. Öffnen Sie die AWS IAM Identity Center Konsole unter. [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)
1. Ändern Sie Ihre AWS Region in Ihre Heimatregion, die Region, in der Sie AWS Control Tower ursprünglich eingerichtet haben.
1. Wählen Sie im linken Navigationsmenü **AWS Konten** aus.
1. Wählen Sie den Link zu Ihrem Verwaltungskonto.
1. Wählen Sie das Drop-down-Menü für **Berechtigungssätze** aus **AWSServiceCatalogEndUserAccess**, wählen Sie und wählen Sie dann **Entfernen** aus.
1. Wählen Sie im linken Bereich **AWS Konten** aus.
1. Öffnen Sie die Registerkarte **Permission sets (Berechtigungssätze)**.
1. Wählen Sie es aus **AWSServiceCatalogEndUserAccess**und löschen Sie es.
**Um IAM-Rollen zu löschen**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Klicken Sie im linken Navigationsmenü auf **Roles (Rollen)**.
1. Suchen Sie in der Tabelle nach Rollen mit dem Namen **AWSControlTower**.
1. Gehen Sie für jede Rolle in der Tabelle wie folgt vor:
1. Wählen Sie das Kontrollkästchen für die Rolle aus.
1. Wählen Sie **Delete role (Rolle löschen)** aus.
1. Stellen Sie sicher, dass die Informationen im Dialogfeld, das sich jetzt öffnet, korrekt sind. Wählen Sie dann **Yes, delete (Ja, löschen)** aus.
**Um IAM-Richtlinien zu löschen**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Klicken Sie im linken Navigationsmenü auf **Policies (Richtlinien)**.
1. Suchen Sie in der Tabelle nach Richtlinien mit dem Namen **AWSControlTower**.
1. Gehen Sie für jede Richtlinie in der Tabelle wie folgt vor:
1. Wählen Sie das Kontrollkästchen für die Richtlinie aus.
1. Wählen Sie **Policy actions (Richtlinienaktionen)** und dann im Dropdownmenü die Option **Delete (Löschen)** aus.
1. Stellen Sie sicher, dass die Informationen im Dialogfeld, das sich jetzt öffnet, korrekt sind. Wählen Sie dann **Delete (Löschen)** aus.
## Hilfe zu den Ressourcen von AWS Control Tower
Wenn Sie beim Entfernen von AWS Control Tower Tower-Ressourcen auf Probleme stoßen, die Sie nicht lösen können, wenden Sie sich an den [AWS Support](https://aws.amazon.com/premiumsupport/).
# Einrichtung nach der Außerbetriebnahme einer landing zone
Nachdem Sie Ihre Landing Zone außer Betrieb genommen haben, können Sie die Einrichtung erst dann wieder erfolgreich durchführen, wenn die manuelle Bereinigung abgeschlossen wurde. Außerdem können ohne manuelle Bereinigung dieser verbleibenden Ressourcen unerwartete Abrechnungskosten anfallen. Sie müssen sich mit diesen Aspekten befassen:
+ Das AWS Control Tower-Managementkonto ist Teil der AWS Control Tower **Root OU**. Stellen Sie sicher, dass diese IAM-Rollen und IAM-Richtlinien aus dem Verwaltungskonto entfernt wurden:
+ Rollen:
`- AWSControlTowerAdmin`
`- AWSControlTowerCloudTrailRole`
`- AWSControlTowerStackSetRole`
+ Richtlinien:
`- AWSControlTowerAdminPolicy`
`- AWSControlTowerCloudTrailRolePolicy`
`- AWSControlTowerStackSetRolePolicy`
+ Möglicherweise möchten Sie die bestehende IAM Identity Center-Konfiguration für AWS Control Tower löschen oder aktualisieren, bevor Sie erneut eine landing zone einrichten, aber es ist nicht erforderlich, dass Sie sie löschen.
+ Möglicherweise möchten Sie die von AWS Control Tower erstellte VPC entfernen.
+ Die Einrichtung schlägt fehl, wenn die für die Protokollierungs- oder Auditkonten angegebenen E-Mail-Adressen mit einem vorhandenen AWS Konto verknüpft sind. Sie können die AWS Konten schließen oder andere E-Mail-Adressen verwenden, um erneut eine landing zone einzurichten. Alternativ können Sie diese bestehenden gemeinsamen Konten mit der Funktion wiederverwenden, mit der Sie Ihre eigenen Protokollierungs- und Auditkonten verwenden können. Weitere Informationen finden Sie unter [Überlegungen zur Mitnahme vorhandener Sicherheits- oder Protokollkonten](accounts.md#considerations-for-existing-shared-accounts).
+ Das Setup schlägt fehl, wenn Amazon S3 S3-Buckets mit den folgenden reservierten Namen bereits im Logging-Konto vorhanden sind:
+ `aws-controltower-logs-{accountId}-{region}` (wird für den Protokollierungsbucket verwendet).
+ `aws-controltower-s3-access-logs-{accountId}-{region}` (wird für den Bucket verwendet, mit dem Zugriffe protokolliert werden).
Sie müssen diese Buckets entweder umbenennen oder entfernen oder ein anderes Konto für das Protokollierungskonto verwenden.
+ Die Installation schlägt fehl, wenn das Verwaltungskonto die bestehende Protokollgruppe,`aws-controltower/CloudTrailLogs`, unter CloudWatch Logs hat. Sie müssen die Protokollgruppe entweder umbenennen oder entfernen.
**Bevor Sie ein neues einrichten AWS-Region**
Wenn Sie beabsichtigen, eine neue landing zone in einer neuen AWS Region einzurichten, gehen Sie wie folgt vor.
+ Geben Sie den folgenden Befehl über die CLI ein:
```
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
```
+ Löschen Sie die verbleibende verwaltete Regel (genannt`AWSControlTowerManagedRule`) aus den gemeinsamen Konten und Mitgliedskonten aller verwalteten Regionen.
**Anmerkung**
Sie können keine neue landing zone in einer Organisation einrichten, deren oberste Ebene entweder **Security** oder **Sandbox OUs ** heißt. Sie müssen diese umbenennen oder entfernen OUs , um erneut eine landing zone einzurichten.