기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Control Tower 랜딩 존 폐기
<a name="decommission-landing-zone"></a>

AWS Control Tower를 사용하면 랜딩 존이라고 하는 안전한 다중 계정 AWS 환경을 설정하고 관리할 수 있습니다. AWS Control Tower에서 할당된 모든 리소스를 정리하는 프로세스를 랜딩 존 *폐기*라고 합니다.

AWS Control Tower를 더 이상 사용하지 않으려는 경우 자동 폐기 도구가 AWS Control Tower에서 할당한 리소스를 정리합니다. 자동 폐기 프로세스를 시작하려면 **랜딩 존 설정** 페이지로 이동하여 폐기 탭을 선택하고 **랜딩 존 폐기**를 선택합니다.

폐기 중에 수행되는 작업의 목록은 [폐기 프로세스 개요](decommissioning-process-overview.md) 섹션을 참조하세요.

**주의**  
모든 AWS Control Tower 리소스의 수동 삭제는 폐기와 동일하지 않습니다. 새 랜딩 존을 설정할 수 없습니다.

 데이터 및 기존 AWS Organizations 는 폐기 프로세스에 의해 다음과 같은 방식으로 변경되지 않습니다.
+ AWS Control Tower는 데이터를 제거하지 않고 생성한 랜딩 존의 요소만 제거합니다.
+ 폐기 프로세스가 완료된 후 Amazon S3 버킷 및 Amazon CloudWatch Logs 로그 그룹과 같은 몇몇 리소스 아티팩트는 남아 있습니다. 다른 랜딩 존을 설정하기 전에 이러한 리소스를 수동으로 삭제하여 특정 리소스를 유지 관리하는 데 따른 비용이 발생하지 않도록 해야 합니다.
+ 자동 폐기를 사용하여 부분적으로 설정된 랜딩 존을 제거할 수 없습니다. 랜딩 존 설정 프로세스가 실패할 경우, 실패 상태를 해결하고 자동 폐기를 가능하게 하기 위해 모든 방법을 설정해야 합니다. 그러지 않으면 리소스를 개별적으로 수동으로 삭제해야 합니다.

*랜딩 존을 폐기하는 것은 중대한 결과를 초래하는 프로세스이며 실행 취소할 수 없습니다.* AWS Control Tower에서 수행되는 폐기 작업과 폐기 후 남아 있는 아티팩트에 대해서는 다음 섹션에서 설명합니다.

**중요**  
 랜딩 존 사용을 중지하려는 경우에만 이 폐기 프로세스를 수행하는 것이 좋습니다. 기존 랜딩 존을 폐기한 후에는 다시 생성할 수 없습니다.

# 폐기 프로세스 개요
<a name="decommissioning-process-overview"></a>

랜딩 존 폐기를 요청하면 AWS Control Tower에서 다음 작업을 수행합니다.
+ 랜딩 존에서 활성화된 각 감지 제어를 비활성화합니다. AWS Control Tower는 제어를 지원하는 CloudFormation 리소스를 삭제합니다.
+ 에서 서비스 제어 정책(SCPs)을 제거하여 각 예방 제어를 비활성화합니다 AWS Organizations. 정책이 비어 있는 경우(AWS Control Tower에서 관리하는 모든 SCP를 제거한 후에는 비어 있게 됨), AWS Control Tower는 해당 정책을 분리하고 완전히 삭제합니다.
+  CloudFormation StackSets.
+ 모든 리전에서 CloudFormation Stacks로 배포된 모든 블루프린트를 삭제합니다.
+ 프로비저닝된 각 계정에 대해 AWS Control Tower는 폐기 프로세스 중에 다음 작업을 수행합니다.
  + 각 Account Factory 계정의 레코드를 삭제합니다.
  + AWS Control Tower가 생성한 IAM 역할을 제거하여 계정에 대한 AWS Control Tower 권한을 취소하고(별도 정책이 추가되는 경우는 제외) 표준 `OrganizationsFullAccessRole` IAM 역할을 다시 생성합니다.
  + 계정의 레코드를 제거합니다 AWS Service Catalog.
  +  AWS Service Catalog에서 Account Factory 제품 및 포트폴리오를 제거합니다.
+ 공유(감사 및 로그 아카이브) 계정의 블루프린트를 삭제합니다.
+ AWS Control Tower가 생성한 IAM 역할을 제거하여 공유 계정에서 AWS Control Tower 권한을 취소하고(별도 정책이 추가되는 경우는 제외) `OrganizationsFullAccessRole` IAM 역할을 다시 생성합니다.
+ 공유 계정과 관련된 레코드를 삭제합니다.
+ 고객이 생성한 OU와 관련된 레코드를 삭제합니다.
+ 홈 리전을 식별하는 내부 레코드를 삭제합니다.

**참고**  
폐기 후 VPC가 비어 있지 않은 경우 Account Factory VPC 블루프린트(`BP_ACCOUNT_FACTORY_VPC`)를 제거하여 경로와 NAT 게이트웨이를 정리할 수 있습니다.

# 랜딩 존을 폐기하는 방법
<a name="how-to-decommission"></a>

콘솔에서 AWS Control Tower 랜딩 존을 폐기하려면 여기에 제공된 절차를 따르세요.

**참고**  
폐기하기 전에 등록된 계정의 관리를 해제하는 것이 좋습니다.

1. AWS Control Tower 콘솔에서 **랜딩 존 설정** 페이지로 이동합니다.

1. **랜딩 존 폐기** 섹션에서 **랜딩 존 폐기**를 선택합니다.

1.  필요한 확인 프로세스와 함께 수행할 작업을 설명하는 대화 상자가 나타납니다. 폐기한다는 의도를 확인하려면 모든 확인란을 선택하고 요청에 따라 확인 내용을 입력해야 합니다.
**중요**  
*폐기 프로세스는 실행 취소할 수 없습니다.*

1. 랜딩 존을 폐기한다는 의도를 확인하면 AWS Control Tower 홈 페이지로 리디렉션되고 폐기가 진행됩니다. 폐기 프로세스는 최대 2시간이 소요될 수 있습니다.

1. 폐기가 성공하면 AWS Control Tower 콘솔에서 새 랜딩 존을 설정하기 전에 남아 있는 리소스를 수동으로 삭제해야 합니다. 남아 있는 리소스에는 일부 특정 Amazon S3 버킷, 조직 및 CloudWatch Logs 로그 그룹이 포함됩니다.
**참고**  
*이러한 조치는 결제 및 규정 준수 활동에 중대한 영향을 미칠 수 있습니다. 예를 들어, 이러한 리소스를 삭제하지 않으면 예기치 않은 요금이 발생할 수 있습니다.*

    리소스를 수동으로 삭제하는 방법에 대한 자세한 내용은 [AWS Control Tower 리소스 제거 정보](walkthrough-delete.md#manual-decommissioning) 단원을 참조하세요.

1. 새 AWS 리전에 새 랜딩 존을 설정하려면이 추가 단계를 따르세요. CLI를 통해 다음 명령을 입력합니다.

   ```
   aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
   ```

# API를 통해 랜딩 존 폐기
<a name="lz-api-decommission"></a>

모든 랜딩 존 리소스를 정리하는 프로세스를 랜딩 존 *폐기*라고 합니다.

**중요**  
랜딩 존 사용을 중지하려는 경우에만 이 폐기 프로세스를 수행하는 것이 좋습니다. 기존 랜딩 존을 폐기한 후에는 다시 생성할 수 없습니다.

AWS Control Tower가 데이터 및 기존를 처리하는 방법에 대한 중요한 정보를 포함하여 랜딩 존 폐기에 대한 자세한 내용은 섹션을 AWS Organizations참조하세요[AWS Control Tower 랜딩 존 폐기](decommission-landing-zone.md).

랜딩 존을 폐기하려면 `DeleteLandingZone` API를 직접적으로 호출합니다. 이 API는 `OperationIdentifier`를 반환합니다. 그러면 `GetLandingZoneOperation` API를 직접적으로 호출할 때 이를 사용하여 삭제 작업의 상태를 확인할 수 있습니다.

```
 aws controltower delete-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H"
```

**출력:** 

```
{
   "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```

# 폐기 후 필요한 수동 정리 작업
<a name="manual-cleanup-required"></a>

이 섹션에는 초기 폐기 단계 후에 수행해야 하는 수동 정리 작업이 나열되어 있습니다.
+ 로그 아카이브나 감사 계정을 폐기한 후 새 랜딩 존을 만들거나 기존 로그 아카이브 또는 감사 계정을 가져오는 절차를 따르는 경우 로그 아카이브 및 감사 계정에 대해 다른 이메일 주소를 지정해야 합니다.
+ CloudWatch Logs 로그 그룹 `aws-controltower/CloudTrailLogs`는 다른 랜딩 존을 설정하기 전에 수동으로 삭제해야 합니다.
+ 로그용으로 예약된 이름이 있는 2개의 Amazon S3 버킷은 수동으로 제거하거나 이름을 변경해야 합니다.
+ 기존의 **보안** 및 **샌드박스** 조직 단위를 수동으로 삭제하거나 이름을 변경해야 합니다.
**참고**  
AWS Control Tower **보안 OU** 조직을 삭제하려면 먼저 로깅 및 감사 계정을 삭제해야 하지만, 관리 계정은 삭제하지 않아도 됩니다. 이러한 계정을 삭제하려면 감사 계정과 로깅 계정에 [루트 사용자로 로그인할 시기](root-login.md)하여 각 계정을 개별적으로 삭제해야 합니다.
+  AWS Control Tower에 대한 AWS IAM Identity Center (IAM Identity Center) 구성을 수동으로 삭제할 수 있지만 기존 IAM Identity Center 구성을 진행할 수 있습니다.
+ AWS Control Tower에서 생성한 VPC를 제거하고 연결된 AWS CloudFormation 스택 세트를 제거할 수 있습니다.
+ 새 AWS 리전에 새 랜딩 존을 설정하려면 먼저 다음 추가 단계를 따라야 합니다.
  + CLI를 통해 다음 명령을 입력합니다.

    ```
    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
    ```
  + 모든 관리 리전의 공유 및 멤버 계정에서 `AWSControlTowerManagedRule`이라는 나머지 관리형 규칙을 삭제합니다. `AWSControlTowerManagedRule`은 Amazon EventBridge 규칙입니다.

# 폐기 중에 제거되지 않는 리소스
<a name="resources-not-removed"></a>

랜딩 존을 폐기해도 AWS Control Tower 설정 프로세스가 완전히 되돌려지지는 않습니다. 수동으로 제거할 수 있는 특정 리소스는 여전히 남아 있습니다.

**AWS Organizations**

기존 AWS Organizations 조직이 없는 고객의 경우 AWS Control Tower는 하나 이상의 조직 단위(OUs)로 조직을 설정합니다. 지정된 **보안 OU** 및 선택적으로 생성된 **샌드박스 OU**입니다. 랜딩 존을 폐기하는 경우 다음과 같이 조직의 계층이 유지됩니다.
+ AWS Control Tower 콘솔에서 만든 조직 단위(OU)는 제거되지 않습니다.
+ 보안 및 샌드박스 OU는 제거되지 않습니다.
+ 조직은에서 삭제되지 않습니다 AWS Organizations.
+ 의 계정 AWS Organizations (공유, 프로비저닝 또는 관리)은 이동되거나 제거되지 않습니다.

**AWS IAM Identity Center (SSO)**

기존 IAM Identity Center 디렉터리가 없는 고객의 경우 AWS Control Tower는 IAM Identity Center를 설정하고 초기 디렉터리를 구성합니다. 랜딩 존을 폐기하면 AWS Control Tower는 IAM Identity Center를 변경하지 않습니다. 필요한 경우 관리 계정에 저장된 IAM Identity Center 정보를 수동으로 삭제할 수 있습니다. 특히 다음 영역은 폐기를 통해 변경되지 않습니다.
+ Account Factory로 생성한 사용자는 제거되지 않습니다.
+ AWS Control Tower 설정 중에 생성된 그룹은 제거되지 않습니다.
+ AWS Control Tower에서 생성한 권한 세트는 제거되지 않습니다.
+  AWS 계정과 IAM Identity Center 권한 세트 간의 연결은 제거되지 않습니다.
+ IAM Identity Center 디렉터리는 변경되지 않습니다.
+ AWS Control Tower에 대한 이러한 IAM Identity Center 정책은 제거되지 않습니다.
  + `AWSControlTowerAdminPolicy`
  + `AWSControlTowerCloudTrailRolePolicy`
  + `AWSControlTowerStackSetRolePolicy`

**역할**

설정 중에 AWS Control Tower는 콘솔을 사용하는 경우 특정 역할을 자동으로 생성하거나 API를 통해 랜딩 존을 설정하는 경우 이러한 역할을 만들도록 요청합니다. 랜딩 존을 폐기할 때 다음 역할은 제거되지 않습니다.
+ `AWSControlTowerAdmin`
+ `AWSControlTowerCloudTrailRole`
+ `AWSControlTowerStackSetRole`
+ `AWSControlTowerConfigAggregatorRoleForOrganizations`

**참고**  
 멤버 계정의 `AWSControlTowerExecution` 역할은 랜딩 존이 삭제될 때, AWS Control Tower가 사용자를 대신하여 역할을 생성했는지 또는 사용자가 역할을 수동으로 생성했는지 여부에 관계없이 삭제됩니다. 그러나이 역할에 추가 정책을 연결했거나이 역할에 연결된 정책을 수정한 경우 AWS Control Tower는 랜딩 존 삭제 중에이 역할을 삭제하지 못할 수 있습니다. 이러한 경우 랜딩 존 삭제는 성공하지만 역할은 멤버 계정에 유지됩니다.

**Amazon S3 버킷**

설정 중에 AWS Control Tower는 AWS CloudTrail의 로그 아카이브 계정과 AWS Config 통합의 구성 중앙 집계자 계정에 버킷을 생성합니다. AWS Control Tower는 이러한 각 계정에서 로깅 및 로깅 액세스를 위한 버킷을 생성합니다. 랜딩 존을 폐기할 때 다음 리소스는 제거되지 않습니다.
+ 로그 아카이브 계정의 액세스 S3 버킷 로깅 및 로깅은 제거되지 않습니다.
+ 구성 중앙 집계자 계정의 액세스 S3 버킷 로깅 및 로깅은 제거되지 않습니다.
+ 이러한 각 계정의 로깅 및 로깅 액세스 버킷 콘텐츠는 제거되지 않습니다.

**서비스 통합 계정**

AWS Control Tower를 사용하려면 각 서비스 통합 구성에 중앙 계정이 있어야 합니다. 이 계정은 랜딩 존 버전에 따라 AWS Control Tower 설정 중에 생성되거나 생성되지 않을 수 있습니다. 랜딩 존을 폐기하는 경우 다음과 같은 결과가 발생합니다.
+ AWS Control Tower 설정 중에 생성된 서비스 통합 계정은 닫히지 않습니다.
+ `OrganizationAccountAccessRole` IAM 역할은 표준 AWS Organizations 구성에 맞게 다시 생성됩니다.
+ `AWSControlTowerExecution` 역할은 제거됩니다.

**프로비저닝된 계정**

AWS Control Tower 고객은 Account Factory를 사용하여 새 AWS 계정을 생성할 수 있습니다. 랜딩 존을 폐기하는 경우 다음과 같은 결과가 발생합니다.
+ Account Factory로 생성한 프로비저닝된 계정은 해지되지 않습니다.
+ 에서 프로비저닝된 제품은 제거 AWS Service Catalog 되지 않습니다. 이를 종료하여 정리하면 해당 계정이 **루트 OU**로 이동합니다.
+ AWS Control Tower가 생성한 VPC는 제거되지 않으며, 연결된 AWS CloudFormation 스택 세트(`BP_ACCOUNT_FACTORY_VPC`)도 제거되지 않습니다.
+ `OrganizationAccountAccessRole` IAM 역할은 표준 AWS Organizations 구성에 맞게 다시 생성됩니다.
+ `AWSControlTowerExecution` 역할은 제거됩니다.

**CloudWatch Logs 로그 그룹**
+ CloudWatch Logs 로그 그룹 `aws-controltower/CloudTrailLogs`는 `AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER`라는 블루프린트의 일부로 생성됩니다. 이 로그 그룹은 제거되지 않습니다. 대신 청사진이 삭제되며 리소스는 유지됩니다.

**참고**  
랜딩 존 3.0 이상을 사용하는 고객은 개별 등록 계정의 CloudTrail 로그 및 CloudTrail 로그 역할을 삭제할 필요가 없습니다. 이러한 로그와 역할은 조직 수준 추적을 위해 관리 계정에서만 생성되기 때문입니다.  
랜딩 존 버전 3.2부터 AWS Control Tower는 `AWSControlTowerManagedRule`이라는 Amazon EventBridge 규칙을 생성합니다. 이 규칙은 모든 관리 리전에 대해 각 멤버 계정에 생성됩니다. 폐기 중에는 규칙이 자동으로 삭제되지 않으므로 새 리전에서 랜딩 존을 설정하려면 먼저 모든 관리 리전의 서비스 통합 계정 및 멤버 계정에서 규칙을 수동으로 삭제해야 합니다.

AWS Control Tower 리소스를 삭제하는 방법에 대한 절차는 [AWS Control Tower 리소스 제거](walkthrough-delete.md)에 나와 있습니다.

# AWS Control Tower 리소스 제거
<a name="walkthrough-delete"></a>

이 문서는 정기 유지 관리 및 관리 태스크의 일부로 AWS Control Tower 리소스를 개별적으로 제거하는 방법에 대한 지침을 제공합니다. 이 장에 제공된 절차는 필요한 경우 개별 리소스 또는 일부 리소스를 제거하는 데에만 사용됩니다. 이것은 랜딩 존 서비스 해제와는 다릅니다.

**다음 두 가지 유형의 태스크에서 리소스를 제거해야 할 수 있습니다.**
+ 일반적인 상황에서 랜딩 존을 관리할 때 리소스를 삭제하려는 경우
+ 자동 서비스 해제 후에 남아 있는 리소스를 정리하려는 경우

**주의**  
리소스를 수동으로 제거하면 새 랜딩 존을 설정할 수 없습니다. 이것은 서비스 해제와는 다릅니다. AWS Control Tower 랜딩 존 서비스 해제를 수행하려는 경우 이 장에 설명된 작업을 수행하기 전에 [AWS Control Tower 랜딩 존 폐기](decommission-landing-zone.md)의 지침을 따르세요. 이 장의 지침은 자동 서비스 해제가 완료된 후 남아 있는 리소스를 정리하는 데 도움이 될 수 있습니다. 모든 랜딩 존 리소스를 수동으로 삭제하더라도 이것은 랜딩 존을 서비스 해제하는 것과는 다르며 예기치 않은 요금이 발생할 수 있습니다.

 AWS Control Tower에서 계정을 제거해야 하는 경우 다음 섹션을 참조하여 계정을 닫습니다.
+  [계정 관리 중지](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html) 
+  [Account Factory에서 생성된 계정 해지](https://docs.aws.amazon.com/controltower/latest/userguide/delete-account.html) 

## 삭제하는 대신 서비스 해제가 필요합니까?
<a name="about-decommissioning"></a>

엔터프라이즈에 더 이상 AWS Control Tower를 사용하지 않으려는 경우 또는 조직 리소스의 대규모 재배포가 필요한 경우 랜딩 존을 처음 설정할 때 생성된 리소스를 서비스 해제할 수 있습니다.
+ 폐기 프로세스가 완료된 후 Amazon S3 버킷 및 Amazon CloudWatch Logs 로그 그룹과 같은 몇몇 리소스 아티팩트는 남아 있습니다.
+ 다른 랜딩 존을 설정하기 전에 계정에 남아 있는 리소스를 수동으로 정리하여 예기치 않은 요금이 발생하지 않도록 해야 합니다. 자세한 내용은 [폐기 중에 제거되지 않는 리소스](resources-not-removed.md) 섹션을 참조하세요.

**주의**  
 *랜딩 존 사용을 중지하려는 경우에만* 이 서비스 해제 프로세스를 수행하는 것이 좋습니다. 이 프로세스는 실행 취소할 수 없습니다.

## AWS Control Tower 리소스 제거 정보
<a name="manual-decommissioning"></a>

이 장의 개별 절차는 AWS Control Tower 리소스를 제거하는 수동 방법을 안내합니다. 이 절차는 랜딩 존에서 특정 리소스를 삭제해야 하는 경우에 사용할 수 있습니다.

이러한 절차를 수행하기 전에 달리 명시되지 않는 한 랜딩 존의 홈 리전 AWS Management Console 에 있는에 로그인해야 하며 랜딩 존이 포함된 관리 계정에 대한 관리 권한이 있는 IAM 사용자 또는 IAM Identity Center의 사용자로 로그인해야 합니다.

**주의**  
이렇게 하면 AWS Control Tower 설정 중 거버넌스 드리프트가 발생할 수 있습니다. 이는 실행 취소할 수 없습니다.

**Topics**
+ [삭제하는 대신 서비스 해제가 필요합니까?](#about-decommissioning)
+ [AWS Control Tower 리소스 제거 정보](#manual-decommissioning)
+ [SCP 삭제](controltower-walkthrough-delete-scps.md)
+ [StackSets 및 스택 삭제](controltower-walkthrough-delete-stacksets.md)
+ [로그 아카이브 계정에서 Amazon S3 버킷 삭제](controltower-walkthrough-delete-s3-buckets.md)
+ [Account Factory 포트폴리오 및 제품 제거](controltower-walkthrough-cleanup-account-factory.md)
+ [AWS Control Tower 역할 및 정책 제거](controltower-walkthrough-cleanup-identity.md)
+ [AWS Control Tower 리소스 도움말](#control-tower-cleanup-help)

# SCP 삭제
<a name="controltower-walkthrough-delete-scps"></a>

AWS Control Tower는 제어를 위해 서비스 제어 정책(SCP)을 사용합니다. 이 절차는 AWS Control Tower와 관련된 SCP를 삭제하는 방법을 안내합니다.

**AWS Organizations SCPs 삭제하려면**

1. Organizations 콘솔([https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/))을 엽니다.

1. **정책** 탭을 열고 접두사 **aws-guardrails-**가 있는 서비스 제어 정책(SCP)을 찾아 각 SCP에 대해 다음을 수행합니다.

   1. 연결된 OU에서 SCP를 분리합니다.

   1. SCP를 삭제합니다.

# StackSets 및 스택 삭제
<a name="controltower-walkthrough-delete-stacksets"></a>

AWS Control Tower는 StackSets 및 스택을 사용하여 랜딩 존의 제어 AWS Config 규칙 와 관련된를 배포합니다. 다음 절차는 이러한 특정 리소스를 삭제하는 방법을 설명합니다.

**CloudFormation StackSets를 삭제하려면**

1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) CloudFormation 콘솔을 엽니다.

1. 왼쪽 탐색 메뉴에서 **StackSets**를 선택합니다.

1. 접두사 **AWSControlTower**가 있는 각 스택 세트에 대해 다음을 수행합니다. 스택 세트에 많은 계정이 있다면 다소 시간이 걸릴 수 있습니다.

   1. 대시보드의 테이블에서 특정 스택 세트를 선택합니다. 그러면 해당 스택 세트에 대한 속성 페이지가 열립니다.

   1. 페이지 하단의 **Stacks** 테이블에서 테이블의 모든 AWS 계정에 대한 계정 IDs를 기록합니다. 모든 계정 목록을 복사합니다.

   1. **작업**에서 **StackSet에서 스택 삭제**를 선택합니다.

   1. **배포 옵션 설정**의 **배포 위치**에서 **계정에 스택 배포**를 선택합니다.

   1. 텍스트 필드에 3.b단계에서 레코드한 AWS 계정 IDs 쉼표로 구분하여 입력합니다. 예를 들면 *123456789012*, *098765431098* 등입니다.

   1. **리전 지정**에서 **모두 추가**를 선택하고 페이지의 나머지 파라미터를 기본값으로 설정하고 **다음**을 선택합니다.

   1. **검토** 페이지에서 선택 사항을 검토한 다음 **스택 삭제**를 선택합니다.

   1. **StackSets 속성** 페이지에서 다른 StackSets에 대해 이 절차를 다시 시작할 수 있습니다.

1. 이 프로세스는 서로 다른 **StackSets 속성** 페이지의 **스택** 테이블에 있는 레코드가 비어 있을 때 완료됩니다.

1. **스택** 테이블의 레코드가 비어 있으면 **StackSets 삭제**를 선택합니다.

**CloudFormation 스택을 삭제하려면**

1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) CloudFormation 콘솔을 엽니다.

1. **스택** 대시보드에서 접두사 **AWSControlTower**가 있는 모든 스택을 검색합니다.

1. 테이블의 각 스택에 대해 다음을 수행합니다.

   1. 스택 이름 옆의 확인란을 선택합니다.

   1. **작업** 메뉴에서 **스택 삭제**를 선택합니다.

   1. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 **예, 삭제**를 선택합니다.

# 로그 아카이브 계정에서 Amazon S3 버킷 삭제
<a name="controltower-walkthrough-delete-s3-buckets"></a>

다음 절차에서는 **AWSControlTowerExecution** 그룹의 IAM Identity Center 사용자로 로그 아카이브 계정에 로그인한 다음 로그 아카이브 계정에서 Amazon S3 버킷을 삭제하는 방법을 안내합니다.

**올바른 권한으로 로그 아카이브 계정에 로그인하는 방법**

1. Organizations 콘솔([https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/))을 엽니다.

1. **계정** 탭에서 **로그 아카이브** 계정을 찾습니다.

1. 열린 오른쪽 창에서 로그 아카이브 계정 번호를 기록해 둡니다.

1. 탐색 모음에서 계정 이름을 선택한 다음 계정 메뉴를 엽니다.

1. **역할 전환**을 선택합니다.

1. 열린 페이지에서 **계정**에 로그 아카이브 계정의 계정 번호를 입력합니다.

1. **역할**에 **AWSControlTowerExecution**을 입력합니다.

1. **표시 이름**은 텍스트로 채워져 있습니다.

1. 원하는 **색상**을 선택합니다.

1. **역할 전환**을 선택합니다.

**Amazon S3 버킷을 삭제하는 방법**

1. Amazon S3 콘솔([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/))을 엽니다.

1. **aws-controltower**가 포함된 버킷 이름을 검색합니다.

1. 테이블의 각 버킷에 대해 다음을 수행합니다.

   1. 테이블의 버킷에 대한 확인란을 선택합니다.

   1. **삭제**를 선택합니다.

   1. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 버킷의 이름을 입력하여 확인한 다음 **확인**을 선택합니다.

# Account Factory 포트폴리오 및 제품 제거
<a name="controltower-walkthrough-cleanup-account-factory"></a>

다음 절차는 **AWSServiceCatalogAdmins** 그룹에서 IAM Identity Center 사용자로 로그인한 다음 Account Factory 포트폴리오 및 제품을 정리하는 방법을 안내합니다.

**올바른 권한으로 관리 계정에 로그인하는 방법**

1. 사용자 포털 URL(*directory-id*.awsapps.com/start)로 이동합니다.

1. **AWS 계정**에서 **관리** 계정을 찾습니다.

1. **AWSServiceCatalogAdminFullAccess**에서 **관리 콘솔**을 선택하여이 역할 AWS Management Console 로에 로그인합니다.

**Account Factory를 정리하는 방법**

1. Service Quotas 콘솔([https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/))을 엽니다.

1. 왼쪽 탐색 메뉴에서 **포트폴리오 목록**을 선택합니다.

1. **로컬 포트폴리오** 테이블에서 이름이 **AWS Control Tower Account Factory Portfolio**인 포트폴리오를 검색합니다.

1. 해당 포트폴리오의 이름을 선택하여 세부 정보 페이지로 이동합니다.

1. 페이지의 **제약 조건** 섹션을 확장하고 **AWS Control Tower Account Factory**라는 제품 이름이 포함된 제약 조건에 대한 라디오 버튼을 선택합니다.

1. **제약 조건 제거**를 선택합니다.

1. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 **계속**을 선택합니다.

1. 페이지의 **제품** 섹션에서 이름이 **AWS Control Tower Account Factory**인 제품에 대한 라디오 버튼을 선택합니다.

1. **제품 제거**를 선택합니다.

1. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 **계속**을 선택합니다.

1. 페이지의 **사용자, 그룹 및 역할** 섹션을 확장하고 이 테이블의 모든 레코드에 대한 확인란을 선택합니다.

1. **사용자, 그룹 또는 역할 제거**를 선택합니다.

1. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 **계속**을 선택합니다.

1. 왼쪽 탐색 메뉴에서 **포트폴리오 목록**을 선택합니다.

1. **로컬 포트폴리오** 테이블에서 이름이 **AWS Control Tower Account Factory Portfolio**인 포트폴리오를 검색합니다.

1. 해당 포트폴리오의 라디오 버튼을 선택한 다음 **포트폴리오 삭제**를 선택합니다.

1. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 **계속**을 선택합니다.

1. 왼쪽 탐색 메뉴에서 **제품 목록**을 선택합니다.

1. **관리자 제품** 페이지에서 이름이 **AWS Control Tower Account Factory**인 제품을 검색합니다.

1. 제품을 선택하여 **관리자 제품 세부 정보** 페이지를 엽니다.

1. **작업**에서 **제품 삭제**를 선택합니다.

1. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 **계속**을 선택합니다.

# AWS Control Tower 역할 및 정책 제거
<a name="controltower-walkthrough-cleanup-identity"></a>

이 절차에서는 랜딩 존 설정 시 또는 나중에 AWS Control Tower에서 생성한 역할 및 정책을 정리하는 방법을 안내합니다.

**IAM Identity Center AWSServiceCatalogEndUserAccess 역할을 삭제하는 방법**

1. [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) AWS IAM Identity Center 콘솔을 엽니다.

1.  AWS 리전을 AWS Control Tower를 처음 설정한 리전인 홈 리전으로 변경합니다.

1. 왼쪽 탐색 메뉴에서 **AWS 계정**을 선택합니다.

1. 관리 계정 링크를 선택합니다.

1. **권한 세트**에 대한 드롭다운을 선택하고 **AWSServiceCatalogEndUserAccess**를 선택한 다음 **제거**를 선택합니다.

1. 왼쪽 패널에서 **AWS 계정**을 선택합니다.

1. **권한 세트** 탭을 엽니다.

1. **AWSServiceCatalogEndUserAccess**를 선택하여 삭제합니다.

**IAM 역할을 삭제하는 방법**

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. 왼쪽 탐색 메뉴에서 **역할**을 선택합니다.

1. 테이블에서 이름이 **AWSControlTower**인 역할을 검색합니다.

1. 테이블의 각 역할에 대해 다음을 수행합니다.

   1. 역할에 대한 확인란을 선택합니다.

   1. **역할 삭제**을 선택합니다.

   1. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 **예, 삭제**를 선택합니다.

**IAM 정책을 삭제하는 방법**

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. 왼쪽 탐색 메뉴에서 **정책**을 선택합니다.

1. 테이블에서 이름이 **AWSControlTower**인 정책을 검색합니다.

1. 테이블의 각 정책에 대해 다음을 수행합니다.

   1. 정책에 대한 확인란을 선택합니다.

   1. 드롭다운 메뉴에서 **정책 작업** 및 **삭제**를 차례로 선택합니다.

   1. 열린 대화 상자에서 정보를 검토하여 정보가 정확한지 확인하고 **삭제**를 선택합니다.

## AWS Control Tower 리소스 도움말
<a name="control-tower-cleanup-help"></a>

AWS Control Tower 리소스를 제거할 때 해결할 수 없는 문제가 발생하면 [AWS Support](https://aws.amazon.com/premiumsupport/)에 문의하세요.

# 랜딩 존 폐기 후 설정
<a name="known-issues-decommissioning"></a>

랜딩 존을 폐기한 후에는 수동 정리가 완료될 때까지 설정을 다시 실행할 수 없습니다. 또한 남아 있는 리소스를 수동으로 정리하지 않으면 예기치 않은 결제 요금이 발생할 수 있습니다. 다음 사항에 유의해야 합니다.
+ AWS Control Tower 관리 계정은 AWS Control Tower **루트 OU**의 일부입니다. 다음 IAM 역할 및 IAM 정책이 관리 계정에서 제거되었는지 확인합니다.
  + 역할: 

    `- AWSControlTowerAdmin`

    `- AWSControlTowerCloudTrailRole`

    `- AWSControlTowerStackSetRole`
  + 정책: 

    `- AWSControlTowerAdminPolicy`

    `- AWSControlTowerCloudTrailRolePolicy`

    `- AWSControlTowerStackSetRolePolicy`
+ 랜딩 존을 다시 설정하기 전에 AWS Control Tower에 대한 기존 IAM Identity Center 구성을 삭제하거나 업데이트할 수 있지만, 삭제할 필요는 없습니다.
+ AWS Control Tower에서 생성된 VPC를 제거할 수 있습니다.
+ 로깅 또는 감사 계정에 지정된 이메일 주소가 기존 AWS 계정과 연결된 경우 설정이 실패합니다. AWS 계정을 닫거나 다른 이메일 주소를 사용하여 랜딩 존을 다시 설정할 수 있습니다. 또는 자체 로깅 및 감사 계정을 가져올 수 있는 기능을 사용하여 이러한 기존 공유 계정을 재사용할 수 있습니다. 자세한 내용은 [기존 보안 또는 로깅 계정을 가져올 때의 고려 사항](accounts.md#considerations-for-existing-shared-accounts) 단원을 참조하세요.
+ 로깅 계정에 다음과 같은 예약 이름을 가진 Amazon S3 버킷이 이미 있는 경우 설정이 실패합니다.
  + `aws-controltower-logs-{accountId}-{region}`(로깅 버킷에 사용)
  + `aws-controltower-s3-access-logs-{accountId}-{region}`(로깅 액세스 버킷에 사용)

   이러한 버킷의 이름을 변경하거나 이러한 버킷을 제거하거나 로깅 계정에 다른 계정을 사용해야 합니다.
+ CloudWatch Logs의 기존 로그 그룹 `aws-controltower/CloudTrailLogs`가 관리 계정에 있으면 설정이 실패합니다. 로그 그룹의 이름을 변경하거나 로그 그룹을 제거해야 합니다.

**새에서 설정하기 전에 AWS 리전**

새 AWS 리전에 새 랜딩 존을 설정하려면 다음 추가 단계를 따르세요.
+ CLI를 통해 다음 명령을 입력합니다.

  ```
  aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
  ```
+ 모든 관리 리전의 공유 및 멤버 계정에서 `AWSControlTowerManagedRule`라는 나머지 관리형 규칙을 삭제합니다.

**참고**  
최상위 **보안** 또는 **샌드박스** OU가 있는 조직에서는 새 랜딩 존을 설정할 수 없습니다. 랜딩 존을 다시 설정하려면 이러한 OU의 이름을 바꾸거나 OU를 제거해야 합니다.