Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Retirada de una zona de aterrizaje de AWS Control Tower
<a name="decommission-landing-zone"></a>

AWS Control Tower le permite configurar y gobernar AWS entornos seguros de múltiples cuentas, conocidos como zonas de aterrizaje. El proceso de limpieza de todos los recursos asignados por AWS Control Tower se denomina *retirada* de una zona de aterrizaje. 

Si ya no desea utilizar AWS Control Tower, la herramienta de retirada automatizada limpia los recursos asignados por AWS Control Tower. Para iniciar el proceso de retirada automatizada, vaya a la página **Configuración de la zona de almacenamiento**, seleccione la pestaña de retirada y elija **Retirando zona de almacenamiento**.

Para obtener una lista de las acciones realizadas durante la retirada, consulte [Información general del proceso de retirada](decommissioning-process-overview.md).

**aviso**  
Eliminar manualmente todos los recursos de AWS Control Tower no es lo mismo que retirarlos. No le permitirá configurar una nueva zone de aterrizaje.

 El proceso de desmantelamiento no modifica sus datos ni los que ya AWS Organizations tiene, de las siguientes maneras.
+ AWS Control Tower no elimina los datos, solo elimina partes de la zona de inicio que creó.
+ Una vez finalizado el proceso de desmantelamiento, quedan algunos artefactos de recursos, como los buckets de Amazon S3 y los grupos de CloudWatch registros de Amazon Logs. Estos recursos se deben eliminar manualmente antes de configurar otra zona de inicio y para evitar posibles costos asociados al mantenimiento de determinados recursos.
+ No puede utilizar el desmantelamiento automático para eliminar una zona de aterrizaje parcialmente configurada. Si el proceso de configuración de la zona de aterrizaje falla, debe resolver el estado de error y configurarlo todo el camino para que sea posible el desmantelamiento automático, o debe eliminar manualmente los recursos individualmente.

*La retirada de una zona de inicio es un proceso con consecuencias importantes y no se puede deshacer.* En las secciones siguientes se describen las medidas de retirada adoptadas por AWS Control Tower y los artefactos que quedan después de la retirada.

**importante**  
 Le recomendamos encarecidamente que realice este proceso de retirada solo si tiene intención de dejar de utilizar su zona de inicio. No es posible volver a crear la zona de inicio existente después de que la haya retirado.

# Información general del proceso de retirada
<a name="decommissioning-process-overview"></a>

Cuando solicita la retirada de la zona de aterrizaje, AWS Control Tower realiza las siguientes acciones.
+ Desactiva todos los controles de detección habilitados en la zona de aterrizaje. AWS Control Tower elimina los CloudFormation recursos que respaldan el control.
+ Desactiva cada control preventivo al eliminar las políticas de control de servicios (SCPs) de. AWS Organizations Si una política está vacía (lo que debería ser después de eliminar todas las políticas SCPs administradas por AWS Control Tower), AWS Control Tower desconecta y elimina la política por completo.
+ Elimina todos los planos implementados como. CloudFormation StackSets
+ Elimina todos los planos desplegados como CloudFormation pilas en todas las regiones.
+ Para cada cuenta aprovisionada, AWS Control Tower realiza las siguientes acciones durante el proceso de retirada.
  + Elimina los registros de cada cuenta de Account Factory. 
  + Revoca los permisos de AWS Control Tower de la cuenta eliminando el rol de IAM que creó AWS Control Tower (a menos que se le hayan añadido políticas adicionales) y vuelve a crear el rol de IAM `OrganizationsFullAccessRole` estándar.
  + Elimina los registros de la cuenta de. AWS Service Catalog
  + Elimina el producto de Account Factory y la cartera de AWS Service Catalog.
+ Elimina los esquemas de las cuentas compartidas (auditoría y archivo de registros). 
+ Revoca los permisos de AWS Control Tower de las cuentas compartidas eliminando el rol de IAM que creó AWS Control Tower (a menos que se hayan agregado políticas adicionales) y vuelve a crear el rol de IAM `OrganizationsFullAccessRole`.
+ Elimina los registros relacionados con las cuentas compartidas.
+ Elimina los registros relacionados con los creados por el cliente OUs.
+ Elimina los registros internos que identifican la región de origen.

**nota**  
Después de la retirada, es posible que desee quitar el proyecto de la VPC de Account Factory (`BP_ACCOUNT_FACTORY_VPC`) para limpiar las rutas y las gateways NAT, si la VPC no estaba vacía. 

# Cómo retirar una zona de aterrizaje
<a name="how-to-decommission"></a>

Para retirar la zona de aterrizaje de AWS Control Tower desde la consola, siga el procedimiento que se indica a continuación.

**nota**  
Le recomendamos que deje de administrar las cuentas inscritas antes de retirarlas.

1. Vaya a la página **Configuración de la zona de almacenamiento** de la consola de AWS Control Tower.

1. Elija **Decommission your landing zone (Retirada de la zona de inicio)** en la sección **Decommission your landing zone (Retirada de la zona de inicio)**.

1.  Aparece un cuadro de diálogo en el que se explica la acción que está a punto de realizar, con un proceso de confirmación requerido. Para confirmar su intención de retirada, debe seleccionar todas las casillas y escribir la confirmación según lo solicitado.
**importante**  
*El proceso de retirada no se puede deshacer.*

1. Si confirma su intención de retirar la zona de aterrizaje, se le redirigirá a la página de inicio de AWS Control Tower mientras la retirada está en curso. El proceso puede requerir hasta dos horas.

1. Una vez que la retirada se haya realizado correctamente, debe eliminar manualmente los recursos restantes antes de configurar una nueva zona de aterrizaje desde la consola de AWS Control Tower. Estos recursos restantes incluyen algunos buckets, organizaciones y grupos de CloudWatch registros de Amazon S3 específicos.
**nota**  
*Estas acciones pueden tener consecuencias importantes para sus actividades de facturación y de cumplimiento. Por ejemplo, si no se eliminan estos recursos, se pueden producir cargos inesperados.*

    Para obtener más información acerca de cómo eliminar recursos manualmente, consulte [Acerca de la eliminación de los recursos de AWS Control Tower](walkthrough-delete.md#manual-decommissioning).

1. Si pretendes configurar una nueva landing zone en una nueva AWS región, sigue este paso adicional. Introduzca el siguiente comando a través de la CLI: 

   ```
   aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
   ```

# Retira tu landing zone con APIs
<a name="lz-api-decommission"></a>

El proceso de limpieza de todos los recursos de una zona de aterrizaje se denomina *retirada* de una zona de aterrizaje. 

**importante**  
Le recomendamos encarecidamente que realice este proceso de retirada solo si tiene intención de dejar de utilizar su zona de inicio. No es posible volver a crear la zona de inicio existente después de que la haya retirado.

Para obtener más información sobre el desmantelamiento de una landing zone, incluida información importante sobre cómo AWS Control Tower gestiona sus datos y los existentes AWS Organizations, consulte[Retirada de una zona de aterrizaje de AWS Control Tower](decommission-landing-zone.md). 

Para retirar una zona de aterrizaje, llame a la API `DeleteLandingZone`. Esta API devuelve un `OperationIdentifier` que puede utilizar al llamar a la API `GetLandingZoneOperation` para comprobar el estado de la operación de eliminación. 

```
 aws controltower delete-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H"
```

**Salida:** 

```
{
   "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```

# Tareas de limpieza manual necesarias después de la retirada
<a name="manual-cleanup-required"></a>

En esta sección se enumeran las tareas de limpieza manual que debe realizar después del paso inicial de retirada.
+ Debe especificar direcciones de correo electrónico diferentes para las cuentas de archivo de registro y de auditoría si crea una nueva zona de aterrizaje después de retirar una, o seguir el procedimiento para incorporar las cuentas de archivo de registro o de auditoría existentes.
+ El grupo de CloudWatch registros`aws-controltower/CloudTrailLogs`,, debe eliminarse manualmente antes de configurar otra landing zone.
+ Los dos buckets de Amazon S3 con nombres reservados para los registros deben eliminarse o cambiarse de nombre, manualmente.
+ Debe eliminar, o cambiar de nombre, las unidades organizativas de **seguridad** y **entorno de pruebas** existentes manualmente.
**nota**  
Antes de poder eliminar la organización **OU de seguridad** de AWS Control Tower, primero debe eliminar las cuentas de registro y auditoría, pero no la cuenta de administración. Para eliminar estas cuentas, debe [Cuándo iniciar sesión como usuario raíz](root-login.md) en la cuenta de auditoría y en la cuenta de registro y eliminarlas individualmente. 
+  Es posible que desee eliminar manualmente la configuración AWS IAM Identity Center (del Centro de identidad de IAM) de la Torre de Control de AWS, pero puede continuar con la configuración del Centro de identidad de IAM existente.
+ Es posible que desee eliminar la VPC creada por AWS Control Tower y eliminar el conjunto de AWS CloudFormation pilas asociado.
+ Para poder configurar una nueva landing zone en una nueva AWS región, debes seguir estos pasos adicionales. 
  + Introduzca el siguiente comando a través de la CLI:

    ```
    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
    ```
  + Elimine la regla gestionada restante, denominada`AWSControlTowerManagedRule`, de las cuentas compartidas y de los miembros de todas las regiones gobernadas. `AWSControlTowerManagedRule`es una EventBridge regla de Amazon. 

# Recursos no eliminados durante la retirada
<a name="resources-not-removed"></a>

La retirada de una zona de aterrizaje no revierte por completo el proceso de configuración de AWS Control Tower. Quedan algunos recursos, que pueden eliminarse manualmente.

**AWS Organizations**

Para los clientes sin AWS Organizations organizaciones existentes, AWS Control Tower configura una organización con una o más unidades organizativas (OUs). La **unidad organizativa de seguridad** designada y la unidad **organizativa Sandbox** creada opcionalmente. Cuando se retira la zona de inicio, se mantiene la jerarquía de la organización, de la siguiente manera:
+ Las unidades organizativas (OUs) que haya creado desde la consola de AWS Control Tower no se eliminan.
+ La seguridad y el entorno de pruebas no OUs se eliminan.
+ La organización no se elimina de AWS Organizations.
+ No se mueve ni elimina ninguna cuenta AWS Organizations (compartida, aprovisionada o de gestión).

**AWS IAM Identity Center (SSO)**

Para los clientes que no disponen de un directorio de IAM Identity Center, AWS Control Tower establece IAM Identity Center y configura un directorio inicial. Al retirar la zona de aterrizaje, AWS Control Tower no realiza cambios en IAM Identity Center. Si es necesario, puede eliminar la información de IAM Identity Center almacenada en la cuenta de administración manualmente. En particular, estas zonas no se modifican mediante la retirada:
+ Los usuarios creados con Account Factory no se quitan.
+ Los grupos creados por la configuración de AWS Control Tower no se eliminan.
+ Los conjuntos de permisos creados por AWS Control Tower no se eliminan.
+ No se eliminan las asociaciones entre AWS las cuentas y los conjuntos de permisos del IAM Identity Center.
+ Los directorios de IAM Identity Center no se modifican. 
+ No se eliminan estas políticas de IAM Identity Center para AWS Control Tower:
  + `AWSControlTowerAdminPolicy`
  + `AWSControlTowerCloudTrailRolePolicy`
  + `AWSControlTowerStackSetRolePolicy`

**Roles**

Durante la configuración, AWS Control Tower le crea determinadas funciones si utiliza la consola, o le pide que las cree si configura su landing zone a través de APIs. Al retirar la zona de aterrizaje, no se eliminan los siguientes roles:
+ `AWSControlTowerAdmin`
+ `AWSControlTowerCloudTrailRole`
+ `AWSControlTowerStackSetRole`
+ `AWSControlTowerConfigAggregatorRoleForOrganizations`

**nota**  
 El `AWSControlTowerExecution` rol en las cuentas de los miembros se eliminará cuando se elimine landing zone, tanto si AWS Control Tower creó el rol en su nombre como si lo creó manualmente. Sin embargo, si ha asociado políticas adicionales a esta función o ha modificado las políticas asociadas a esta función, es posible que AWS Control Tower no pueda eliminar esta función durante la eliminación de la zona de destino. En estos casos, la eliminación de la zona de destino se realizará correctamente, pero el rol se mantendrá en su cuenta de miembro. 

**Buckets de Amazon S3**

Durante la configuración, AWS Control Tower crea depósitos en la cuenta del archivo de registros de AWS CloudTrail y en la cuenta agregadora central de configuración para la integración de AWS Config. AWS Control Tower crea depósitos para el registro y el acceso a los registros en cada una de estas cuentas. Al retirar la zona de inicio, no se quitan los siguientes recursos:
+ Los depósitos S3 de registro y acceso al registro de la cuenta del archivo de registros no se eliminan.
+ No se eliminan los depósitos S3 de registro y acceso al registro en la cuenta agregadora central de configuración.
+ El contenido de los depósitos de registro y acceso al registro de cada una de estas cuentas no se elimina.

**Cuentas de integración de servicios**

AWS Control Tower requiere que cada configuración de integración de servicios tenga una cuenta central. Esta cuenta puede o no crearse durante la configuración de la Torre de Control de AWS en función de la versión de landing zone. Al retirar la zona de inicio:
+ Las cuentas de integración de servicios que se crearon durante la configuración de la Torre de Control de AWS no se cierran.
+ La función `OrganizationAccountAccessRole` de IAM se recrea para alinearla con la configuración estándar AWS Organizations .
+ Se quita el rol de `AWSControlTowerExecution`.

**Cuentas aprovisionadas**

Los clientes de AWS Control Tower pueden usar Account Factory para crear AWS cuentas nuevas. Al retirar la zona de inicio:
+ Las cuentas aprovisionadas que creó con Account Factory no están cerradas.
+ Los productos aprovisionados no AWS Service Catalog se eliminan. Si los elimina finalizándolos, las cuentas se trasladarán a la **OU raíz**.
+ No se elimina la VPC que creó AWS Control Tower ni el conjunto de pilas de AWS CloudFormation asociado (`BP_ACCOUNT_FACTORY_VPC`). 
+ La función de `OrganizationAccountAccessRole` IAM se recrea para alinearla con la configuración estándar. AWS Organizations 
+ Se quita el rol de `AWSControlTowerExecution`.

**CloudWatch Registros: Grupo de registros**
+ Se crea un grupo de CloudWatch registros`aws-controltower/CloudTrailLogs`,, como parte del esquema denominado`AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER`. Este grupo de registro no se quita. En su lugar, se elimina el proyecto y se conservan los recursos.

**nota**  
Los clientes de landing zone 3.0 y versiones posteriores no necesitan eliminar los CloudTrail CloudTrail registros y las funciones de registro de sus cuentas individuales inscritas, ya que estos se crean únicamente en la cuenta de administración, para el seguimiento a nivel de la organización.  
A partir de la versión 3.2 de landing zone, AWS Control Tower crea una EventBridge regla de Amazon llamada`AWSControlTowerManagedRule`. Esta regla se crea en cada cuenta de miembro, por cada región gobernada. La regla no se elimina automáticamente durante el desmantelamiento, por lo que debes eliminarla manualmente de las cuentas de integración de servicios y las cuentas de los miembros de todas las regiones gobernadas antes de poder configurar una landing zone en una nueva región.

Los procedimientos para eliminar los recursos de AWS Control Tower se detallan en [Eliminación de recursos de AWS Control Tower](walkthrough-delete.md).

# Eliminación de recursos de AWS Control Tower
<a name="walkthrough-delete"></a>

En este documento se proporcionan instrucciones sobre cómo eliminar los recursos de AWS Control Tower de forma individual, como parte de las tareas administrativas y de mantenimiento habituales. Los procedimientos descritos en este capítulo están destinados únicamente a eliminar recursos individuales, o algunos recursos, cuando sea necesario. No es lo mismo que retirar la zona de aterrizaje.

**Hay dos tipos de tareas que pueden requerir la eliminación de recursos:**
+ Para eliminar recursos a medida que administra su zona de inicio en situaciones normales.
+ Para limpiar los recursos que quedan tras la retirada automática.

**aviso**  
La eliminación manual de los recursos no le permitirá configurar una nueva zona de aterrizaje. No es lo mismo que retirar. Si tiene intención de retirar su zona de aterrizaje de AWS Control Tower, siga las instrucciones que se indican en [Retirada de una zona de aterrizaje de AWS Control Tower](decommission-landing-zone.md) antes de realizar cualquier acción que se describe en este capítulo. Las instrucciones de este capítulo pueden ayudarle a limpiar los recursos que quedan una vez finalizada la retirada automática. Incluso si elimina manualmente todos los recursos de la zona de aterrizaje, no es lo mismo que la retirada de la zona de aterrizaje, y puede incurrir en cargos inesperados.

 Si tiene que eliminar una cuenta de AWS Control Tower, consulte las siguientes secciones para cerrar una cuenta: 
+  [Anular la administración de una cuenta](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html) 
+  [Cierre de una cuenta creada en el generador de cuentas](https://docs.aws.amazon.com/controltower/latest/userguide/delete-account.html) 

## ¿Necesito retirarla en lugar de eliminarla?
<a name="about-decommissioning"></a>

Si ya no tiene intención de utilizar AWS Control Tower para su empresa o si necesita una redistribución importante de los recursos de la organización, es posible que desee limpiar los recursos creados al configurar inicialmente su zona de aterrizaje.
+ Una vez finalizado el proceso de desmantelamiento, quedan algunos artefactos de recursos, como los buckets de Amazon S3 y los grupos de CloudWatch registros de Amazon Logs.
+ Debe limpiar manualmente los recursos restantes de sus cuentas antes de configurar otra zona de aterrizaje y para evitar la posibilidad de cargos inesperados. Para obtener más información, consulte [Recursos no eliminados durante la retirada](resources-not-removed.md).

**aviso**  
 Le recomendamos encarecidamente que realice un proceso de retirada *solo si* tiene intención de dejar de utilizar su zona de aterrizaje. Este proceso no se puede deshacer.

## Acerca de la eliminación de los recursos de AWS Control Tower
<a name="manual-decommissioning"></a>

Los procedimientos individuales de este capítulo le guían a través de los métodos manuales para eliminar los recursos de AWS Control Tower. Estos procedimientos se pueden seguir cuando necesite eliminar un recurso específico de su zona de aterrizaje.

Antes de realizar estos procedimientos, a menos que se indique lo contrario, debe iniciar sesión Consola de administración de AWS en la región de origen de su zona de aterrizaje y debe iniciar sesión como usuario de IAM o usuario en el Centro de identidades de IAM con permisos administrativos para la cuenta de administración que contiene su zona de aterrizaje.

**aviso**  
Se trata de acciones destructivas que pueden introducir una desviación de la gobernanza en su configuración de AWS Control Tower. No se pueden deshacer.

**Topics**
+ [¿Necesito retirarla en lugar de eliminarla?](#about-decommissioning)
+ [Acerca de la eliminación de los recursos de AWS Control Tower](#manual-decommissioning)
+ [Eliminar SCPs](controltower-walkthrough-delete-scps.md)
+ [Eliminar y apilar StackSets](controltower-walkthrough-delete-stacksets.md)
+ [Eliminación de buckets de Amazon S3 en la cuenta del archivo de registro](controltower-walkthrough-delete-s3-buckets.md)
+ [Eliminación del producto y la cartera del generador de cuentas](controltower-walkthrough-cleanup-account-factory.md)
+ [Eliminación de los roles y políticas de AWS Control Tower](controltower-walkthrough-cleanup-identity.md)
+ [Ayuda con los recursos de AWS Control Tower](#control-tower-cleanup-help)

# Eliminar SCPs
<a name="controltower-walkthrough-delete-scps"></a>

AWS Control Tower utiliza políticas de control de servicios (SCPs) para sus controles. Este procedimiento explica cómo eliminar lo relacionado SCPs específicamente con AWS Control Tower.

**Para eliminar AWS Organizations SCPs**

1. Abra la consola de Organizations en [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Abra la pestaña **Políticas** y busque las políticas de control de servicio (SCPs) que tienen el prefijo **aws-guardrails-** y haga lo siguiente para cada SCP:

   1. Separe la SCP de la OU asociada.

   1. Elimine la SCP.

# Eliminar y apilar StackSets
<a name="controltower-walkthrough-delete-stacksets"></a>

AWS Control Tower utiliza StackSets y apila para implementar controles Reglas de AWS Config relacionados con los de su landing zone. Los siguientes procedimientos explican cómo eliminar estos recursos específicos.

**Para eliminar CloudFormation StackSets**

1. Abre la CloudFormation consola en [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

1. En el menú de navegación de la izquierda, selecciona. **StackSets**

1. Para cada uno StackSet con el prefijo **AWSControlTorre**, haga lo siguiente. Si tienes varias cuentas en una StackSet, esto puede llevar algún tiempo.

   1. Elige la específica StackSet de la tabla del panel de control. Esto abre la página de propiedades correspondiente StackSet.

   1. En la parte inferior de la página, en la tabla **Stacks**, haz un registro de la AWS cuenta IDs de todas las cuentas de la tabla. Copie la lista de todas las cuentas.

   1. En **Acciones**, selecciona **Eliminar pilas de**. StackSet

   1. En **Establecer opciones de implementación**, en **Ubicaciones de implementación**, selecciona **Implementar pilas en cuentas**.

   1. En el campo de texto, introduce la AWS cuenta IDs que registraste en el paso 3.b, separada por comas. Por ejemplo, *123456789012*, *098765431098* etc.

   1. En **Specify regions (Especificar regiones)**, elija **Add all (Añadir todo)**, deje el resto de los parámetros de la página establecidos en sus valores predeterminados y elija **Next (Siguiente)**.

   1. En la página **Review (Revisar)**, revise las opciones y seleccione **Delete stacks (Eliminar pilas)**.

   1. En la página de **StackSet propiedades**, puede volver a iniciar este procedimiento para la otra. StackSets

1. El proceso finaliza cuando los registros de la tabla **Stacks** de las distintas páginas de **StackSets propiedades** están vacíos.

1. **Cuando los registros de la tabla **Stacks** estén vacíos, seleccione Eliminar. StackSet**

**Para eliminar pilas CloudFormation**

1. Abre la CloudFormation consola en [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

1. **En el panel de control de las **pilas**, busca todas las pilas con el prefijo Tower. AWSControl**

1. Para cada pila de la tabla, realice lo siguiente:

   1. Active la casilla situada junto al nombre de la pila.

   1. En el menú **Actions (Acciones)**, elija **Delete Stack (Eliminar la pila)**.

   1. En el cuadro de diálogo que se abre, revise la información para asegurarse de que sea precisa y elija **Yes, Delete (Sí, eliminar)**.

# Eliminación de buckets de Amazon S3 en la cuenta del archivo de registro
<a name="controltower-walkthrough-delete-s3-buckets"></a>

Los siguientes procedimientos le explican cómo iniciar sesión en la cuenta del archivo de registros como usuario del IAM Identity Center del **AWSControlTowerExecution**grupo y, a continuación, eliminar los buckets de Amazon S3 de su cuenta de archivo de registros.

**Para iniciar sesión en su cuenta del archivo de registro con los permisos adecuados**

1. Abra la consola de Organizations en [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. En la pestaña **Accounts (Cuentas)**, busque la cuenta **Log archive (Archivo de registro)**.

1. En el panel derecho que se abre, realice un registro del número de la cuenta del archivo de registro.

1. En la barra de navegación, elija el nombre de la cuenta para abrir el menú de la misma.

1. Elija **Switch Role**.

1. En la página que se abre, proporcione el número de la cuenta del archivo de registro en **Account (Cuenta)**.

1. Para **Rol**, escriba **AWSControlTowerExecution**.

1. **Display Name (Nombre de visualización)** se rellena con texto.

1. Elija su **Color** favorito.

1. Elija **Switch Role**.

**Eliminación de buckets de Amazon S3**

1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Busque nombres que contengan **aws-controltower**.

1. Para cada bucket de la tabla, realice lo siguiente:

   1. Active la casilla del bucket de la tabla.

   1. Elija **Eliminar**.

   1. En el cuadro de diálogo que se abre, revise la información para asegurarse de que sea precisa, escriba el nombre del bucket que desea confirmar y, a continuación, elija **Confirm (Confirmar)**.

# Eliminación del producto y la cartera del generador de cuentas
<a name="controltower-walkthrough-cleanup-account-factory"></a>

El siguiente procedimiento le explica cómo iniciar sesión como usuario del IAM Identity Center en el **AWSServiceCatalogAdmins**grupo y, a continuación, limpiar su cartera y sus productos de Account Factory.

**Inicio de sesión en la cuenta de administración con los permisos adecuados**

1. Vaya a la URL de su portal de usuario en *directory-id* .awsapps.com/start

1. En **AWS Cuenta de AWS**, busque la cuenta **Maestra**.

1. Desde **AWSServiceCatalogAdminFullAccess**, elija la **consola de administración** para iniciar sesión con este rol. Consola de administración de AWS 

**Eliminación del generador de cuentas**

1. Abra la consola de Service Catalog en [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).

1. En el panel de navegación izquierdo, elija **Portfolios list (Lista de carteras)**.

1. En la tabla **Carteras locales**, busque una cartera llamada **AWS Cartera del generador de cuentas de AWS Control Tower**.

1. Elija el nombre de esa cartera para ir a su página de detalles.

1. Amplíe la sección **Restricciones** de la página y elija el botón de opción para la restricción con el nombre de producto **Generador de cuentas de AWS Control Tower**.

1. Elija **REMOVE CONSTRAINTS (QUITAR RESTRICCIONES)**.

1. En el cuadro de diálogo que se abre, revise la información para asegurarse de que sea precisa y, a continuación, elija **CONTINUE (CONTINUAR)**.

1. En la sección **Productos** de la página, elija el botón de opción para el producto llamado **Generador de cuentas de AWS Control Tower)**.

1. Elija **REMOVE PRODUCT (QUITAR PRODUCTO)**.

1. En el cuadro de diálogo que se abre, revise la información para asegurarse de que sea precisa y, a continuación, elija **CONTINUE (CONTINUAR)**.

1. Amplíe la sección **Users, Groups, and Roles (Usuarios, grupos y roles)** de la página y active las casillas de todos los registros en esta tabla.

1. Elija **REMOVE USERS, GROUP OR ROLE (QUITAR USUARIOS, GRUPO O ROL)**.

1. En el cuadro de diálogo que se abre, revise la información para asegurarse de que sea precisa y, a continuación, elija **CONTINUE (CONTINUAR)**.

1. En el panel de navegación izquierdo, elija **Portfolios list (Lista de carteras)**.

1. En la tabla **Carteras locales**, busque una cartera llamada **AWS Cartera del generador de cuentas de AWS Control Tower**.

1. Elija el botón de opción para esa cartera y, a continuación, elija **DELETE PORTFOLIO (ELIMINAR CARTERA)**.

1. En el cuadro de diálogo que se abre, revise la información para asegurarse de que sea precisa y, a continuación, elija **CONTINUE (CONTINUAR)**.

1. En el menú de navegación izquierdo, elija **Product list (Lista de productos)**.

1. En la página **Productos de administración**, busque el producto llamado **Generador de cuentas de AWS Control Tower**.

1. Elija el producto para abrir la página **Admin product details (Detalles del producto de administrador)**.

1. En **Actions (Acciones)**, elija **Delete product (Eliminar producto)**.

1. En el cuadro de diálogo que se abre, revise la información para asegurarse de que sea precisa y, a continuación, elija **CONTINUE (CONTINUAR)**.

# Eliminación de los roles y políticas de AWS Control Tower
<a name="controltower-walkthrough-cleanup-identity"></a>

Estos procedimientos le explican cómo eliminar los roles y políticas que AWS Control Tower creó cuando se configuró su zona de aterrizaje, o posteriormente.

**Para eliminar el rol del Centro de Identidad de IAM AWSService CatalogEndUserAccess**

1. Abra la AWS IAM Identity Center consola en. [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)

1. Cambie su AWS región a su región de origen, que es la región en la que configuró inicialmente la Torre de Control de AWS.

1. En el menú de navegación izquierdo, elija **AWS Cuentas de AWS**.

1. Elija el enlace de su cuenta de administración.

1. Elija el menú desplegable de **conjuntos de permisos**, seleccione y **AWSServiceCatalogEndUserAccess**, a continuación, elija **Eliminar**.

1. Elija **AWS Cuentas de AWS** en el panel izquierdo.

1. Abra la pestaña **Permission sets (Conjuntos de permisos)**.

1. Selecciónalo **AWSServiceCatalogEndUserAccess**y elimínalo.

**Eliminación de roles de IAM**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el menú de navegación izquierdo, elija **Roles**.

1. En la tabla, busque los roles con el nombre **AWSControlTower**.

1. Para cada rol de la tabla, realice lo siguiente:

   1. Active la casilla del rol.

   1. Elija **Eliminar rol**.

   1. En el cuadro de diálogo que se abre, revise la información para asegurarse de que sea precisa y, a continuación, elija **Yes, delete (Sí, eliminar)**.

**Eliminación de políticas de IAM**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el menú de navegación izquierdo, elija **Policies (Políticas)**.

1. En la tabla, busque políticas con el nombre **AWSControlTower**.

1. Para cada política de la tabla, realice lo siguiente:

   1. Active la casilla de la política.

   1. Elija **Policy actions (Acciones de política)** y **Delete (Eliminar)** en el menú desplegable.

   1. En el cuadro de diálogo que se abre, revise la información para asegurarse de que sea precisa y, a continuación, elija **Delete (Eliminar)**.

## Ayuda con los recursos de AWS Control Tower
<a name="control-tower-cleanup-help"></a>

Si encuentra algún problema que no pueda resolver al eliminar los recursos de AWS Control Tower, póngase en contacto con [AWS Support](https://aws.amazon.com/premiumsupport/).

# Configuración después de la retirada de una zona de aterrizaje
<a name="known-issues-decommissioning"></a>

Después de retirar la zona de inicio, no podrá ejecutar correctamente la configuración de nuevo hasta que haya finalizado la limpieza manual. Además, sin la limpieza manual de estos recursos restantes, puede incurrir en cargos de facturación inesperados. Debe atender estas cuestiones:
+ La cuenta de administración de AWS Control Tower forma parte de la **OU raíz** de AWS Control Tower. Asegúrese de que estos roles y políticas de IAM se eliminan de la cuenta de administración: 
  + Roles: 

    `- AWSControlTowerAdmin`

    `- AWSControlTowerCloudTrailRole`

    `- AWSControlTowerStackSetRole`
  + Políticas: 

    `- AWSControlTowerAdminPolicy`

    `- AWSControlTowerCloudTrailRolePolicy`

    `- AWSControlTowerStackSetRolePolicy`
+ Si lo desea, puede eliminar o actualizar la configuración de IAM Identity Center existente de AWS Control Tower antes de volver a configurar una zona de aterrizaje, pero no es necesario que la elimine.
+ Si lo desea, puede eliminar la VPC creada por AWS Control Tower.
+ La configuración no se realiza correctamente si las direcciones de correo electrónico especificadas para las cuentas de registro o auditoría están asociadas a una cuenta existente. AWS Puedes cerrar las AWS cuentas o usar direcciones de correo electrónico diferentes para volver a configurar una landing zone. Como alternativa, puede reutilizar estas cuentas compartidas existentes, con la función que permite incorporar las cuentas de registro y auditoría propias. Para obtener más información, consulte [Consideraciones a la hora de incorporar las cuentas de seguridad o de registro existentes](accounts.md#considerations-for-existing-shared-accounts).
+ La configuración falla si ya existen buckets de Amazon S3 con los siguientes nombres reservados en la cuenta de registro:
  + `aws-controltower-logs-{accountId}-{region}` (utilizado para el bucket de registro).
  + `aws-controltower-s3-access-logs-{accountId}-{region}` (utilizado para el bucket de acceso de registro).

   Debe cambiar el nombre o quitar estos buckets o usar una cuenta diferente para la cuenta de registro.
+ La configuración falla si la cuenta de administración tiene el grupo de registros existente`aws-controltower/CloudTrailLogs`, en CloudWatch Registros. Debe cambiar el nombre o quitar el grupo de registro. 

**Antes de configurarlo en un nuevo Región de AWS**

Si tienes intención de configurar una nueva landing zone en una nueva AWS región, sigue estos pasos adicionales. 
+ Introduzca el siguiente comando a través de la CLI:

  ```
  aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
  ```
+ Elimine la regla administrada restante, denominada`AWSControlTowerManagedRule`, de las cuentas compartidas y de miembro de todas las regiones gobernadas.

**nota**  
No puedes configurar una nueva landing zone en una organización OUs cuyo nivel superior se llame **Security** o **Sandbox**. Debes cambiarles el nombre o eliminarlos OUs para volver a configurar una landing zone.