As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Descomissionar uma zona de pouso do AWS Control Tower
<a name="decommission-landing-zone"></a>

O AWS Control Tower permite que você configure e administre AWS ambientes seguros de várias contas, conhecidos como zonas de pouso. O processo de limpeza de todos os recursos alocados pelo AWS Control Tower é chamado de *desativação* de uma zona de pouso. 

Se você não quiser mais usar o AWS Control Tower, a ferramenta de desativação automática limpa os recursos alocados pelo AWS Control Tower. Para iniciar o processo de desativação automática, acesse a página **Configurações de zona inicial**, selecione a guia de desativação e escolha **Desativar zona de pouso**.

Consulte uma lista completa das ações executadas durante a desativação em [Visão geral do processo de desativação](decommissioning-process-overview.md).

**Atenção**  
Excluir manualmente todos os seus recursos do AWS Control Tower não é o mesmo que desativar. Isso não permitirá que você configure uma nova zona de pouso.

 Seus dados e os existentes não AWS Organizations são alterados pelo processo de descomissionamento, das seguintes maneiras.
+ O AWS Control Tower não remove seus dados, apenas partes da zona de destino que é criada.
+ Após a conclusão do processo de desativação, alguns artefatos de recursos permanecem, como os buckets do Amazon S3 e os grupos de log do Amazon Logs. CloudWatch Esses recursos devem ser excluídos manualmente antes da configuração de outra zona de destino para evitar possíveis custos associados à manutenção de determinados recursos.
+ Você não pode usar a desativação automatizada para remover uma zona de destino parcialmente configurada. Se ocorrer uma falha no processo de configuração da zona de destino, você poderá resolver o estado de falha e configurá-lo até o fim para tornar possível a desativação automatizada ou será necessário excluir os recursos individualmente de forma manual.

*A desativação de uma zona de destino é um processo de consequências significativas e não pode ser desfeito.* As ações de desativação realizadas pelo AWS Control Tower e os artefatos que permanecem após a desativação são descritos nas seções a seguir.

**Importante**  
 Recomendamos veementemente a realização deste processo de desativação exclusivamente se você pretende parar de usar a zona de destino. Não é possível recriar uma zona de destino existente depois de sua desativação.

# Visão geral do processo de desativação
<a name="decommissioning-process-overview"></a>

Ao solicitar a desativação da zona de pouso, o AWS Control Tower realiza as ações a seguir.
+ Desativa cada controle de detecção habilitado na zona de pouso. O AWS Control Tower exclui os CloudFormation recursos que dão suporte ao controle.
+ Desativa cada controle preventivo removendo as políticas de controle de serviço (SCPs) de AWS Organizations. Se uma política estiver vazia (o que deveria acontecer depois de remover todas as políticas SCPs gerenciadas pela AWS Control Tower), a AWS Control Tower desanexará e excluirá totalmente a política.
+ Exclui todos os blueprints implantados como. CloudFormation StackSets
+ Exclui todos os blueprints implantados como CloudFormation pilhas em todas as regiões.
+ Para cada conta provisionada, o AWS Control Tower realiza as seguintes ações durante o processo de desativação.
  + Exclui os registros de cada conta de fábrica de contas. 
  + Revoga as permissões do AWS Control Tower para a conta removendo o perfil do IAM criado pelo AWS Control Tower (a menos que políticas complementares tenham sido adicionadas a ele) e recria o perfil `OrganizationsFullAccessRole` padrão do IAM.
  + Remove os registros da conta de AWS Service Catalog.
  + Remove o produto e o portfólio da fábrica de contas do AWS Service Catalog.
+ Exclui os esquemas das contas compartilhadas (de auditoria e de arquivamento de logs). 
+ Revoga as permissões do AWS Control Tower das contas compartilhadas removendo o perfil do IAM criado pelo AWS Control Tower (a menos que políticas adicionais tenham sido adicionadas a ele) e recria o perfil do IAM `OrganizationsFullAccessRole`.
+ Exclui registros relacionados às contas compartilhadas.
+ Exclui registros relacionados aos criados pelo cliente OUs.
+ Exclui registros internos que identificam a região de origem.

**nota**  
Após a desativação, será possível remover o esquema da VPC da Fábrica de contas (`BP_ACCOUNT_FACTORY_VPC`) para limpar as rotas e gateways NAT, se sua VPC não estiver vazia. 

# Como desativar uma zona de pouso
<a name="how-to-decommission"></a>

Para descomissionar a zona de pouso do AWS Control Tower no console, siga o procedimento fornecido aqui.

**nota**  
Recomendamos que você cancele o gerenciamento de suas contas inscritas antes da desativação.

1. Acesse a página de **Configurações de zona inicial** no console do AWS Control Tower.

1. Escolha **Desativar sua zona de pouso** na seção **Desativar sua zona de pouso**.

1.  Uma caixa de diálogo é exibida, explicando a ação que você está prestes a executar, com um processo de confirmação necessário. Para confirmar sua intenção de desativação, você deve selecionar todas as caixas e digitar a confirmação conforme solicitado.
**Importante**  
*O processo de desativação não pode ser desfeito.*

1. Se confirmar sua intenção de desativar a zona de pouso, você será redirecionado para a página inicial do AWS Control Tower enquanto a desativação estiver em andamento. O processo pode exigir até duas horas.

1. Quando a desativação tiver sido concluída com êxito, você deverá excluir os recursos restantes manualmente antes de configurar uma nova zona de pouso no console do AWS Control Tower. Esses recursos restantes incluem alguns buckets, organizações e grupos de CloudWatch logs de registros específicos do Amazon S3.
**nota**  
*Essas ações podem ter consequências significativas para suas atividades de faturamento e conformidade. Por exemplo, a falha na exclusão desses recursos pode resultar em cobranças inesperadas.*

    Para obter mais informações sobre como excluir recursos manualmente, consulte [Sobre a remoção de recursos do AWS Control Tower](walkthrough-delete.md#manual-decommissioning).

1. Se você pretende configurar um novo landing zone em uma nova AWS região, siga esta etapa adicional. Insira o seguinte comando pela CLI: 

   ```
   aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
   ```

# Desative sua landing zone com APIs
<a name="lz-api-decommission"></a>

O processo de limpeza de todos os recursos da zona de pouso é chamado de *desativação* de uma zona de pouso. 

**Importante**  
Recomendamos veementemente a realização deste processo de desativação exclusivamente se você pretende parar de usar a zona de destino. Não é possível recriar uma zona de destino existente depois de sua desativação.

Para obter mais detalhes sobre o descomissionamento de uma landing zone, incluindo informações importantes sobre como o AWS Control Tower lida com seus dados e os existentes AWS Organizations, revise. [Descomissionar uma zona de pouso do AWS Control Tower](decommission-landing-zone.md) 

Para desativar uma zona de pouso, chame a API `DeleteLandingZone`. Essa API retorna um `OperationIdentifier`, que você pode usar ao chamar a API `GetLandingZoneOperation` para verificar o status da operação de exclusão. 

```
 aws controltower delete-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H"
```

**Saída**: 

```
{
   "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```

# Tarefas de limpeza manual necessárias após a desativação
<a name="manual-cleanup-required"></a>

Esta seção lista as tarefas de limpeza manual que você deve executar após a etapa inicial de descomissionamento.
+ Você deverá especificar endereços de e-mail diferentes para as contas de auditoria e de arquivamento de logs se criar uma zona de pouso após desativar uma, ou siga o procedimento para trazer suas próprias contas de auditoria e de arquivamento de logs.
+ O grupo de CloudWatch registros de registros`aws-controltower/CloudTrailLogs`,, deve ser excluído manualmente antes de você configurar outra landing zone.
+ Os dois buckets do Amazon S3 com nomes reservados para logs devem ser removidos ou renomeados manualmente.
+ Você deve excluir ou renomear manualmente as unidades organizacionais de **Segurança** e **Sandbox** existentes.
**nota**  
Antes de excluir a organização da **UO de segurança** do AWS Control Tower, você deve primeiro excluir as contas de auditoria e registro em log, mas não a conta de gerenciamento. Para excluir essas contas, você deve [Quando fazer login como usuário-raiz](root-login.md) na conta de auditoria e na conta de registro e excluí-las individualmente. 
+  Talvez você queira excluir manualmente a configuração Centro de Identidade do AWS IAM (do IAM Identity Center) do AWS Control Tower, mas você pode continuar com a configuração atual do IAM Identity Center.
+ Talvez você queira remover a VPC criada pelo AWS Control Tower e remover o conjunto de AWS CloudFormation pilhas associado.
+ Antes de configurar um novo landing zone em uma nova AWS região, você deve seguir estas etapas adicionais. 
  + Insira o seguinte comando pela CLI:

    ```
    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
    ```
  + Exclua a regra gerenciada restante, chamada`AWSControlTowerManagedRule`, das contas compartilhadas e membros de todas as regiões governadas. `AWSControlTowerManagedRule`é uma EventBridge regra da Amazon. 

# Recursos não removidos durante a desativação
<a name="resources-not-removed"></a>

A desativação de uma zona de pouso não reverte totalmente o processo de configuração do AWS Control Tower. Alguns recursos permanecem, os quais podem ser removidos manualmente.

**AWS Organizations**

Para clientes sem AWS Organizations organizações existentes, o AWS Control Tower configura uma organização com uma ou mais unidades organizacionais (OUs). A **OU de segurança designada e a OU** **Sandbox** criada opcionalmente. Ao desativar a zona de destino, a hierarquia da organização é preservada, da seguinte forma:
+ As unidades organizacionais (OUs) que você criou no console do AWS Control Tower não são removidas.
+ A Segurança e a Sandbox não OUs são removidas.
+ A organização não foi excluída do AWS Organizations.
+ Nenhuma conta AWS Organizations (compartilhada, provisionada ou gerenciada) é movida ou removida.

**Centro de Identidade do AWS IAM (SSO)**

Para clientes sem um diretório existente do Centro de Identidade do IAM, o AWS Control Tower configura o Centro de Identidade do IAM e configura um diretório inicial. Quando você desativa a zona de pouso, o AWS Control Tower não faz alterações no Centro de Identidade do IAM. Se necessário, você pode excluir manualmente as informações do Centro de Identidade do IAM armazenadas na conta de gerenciamento. Estas áreas, especificamente, permanecem inalteradas com a desativação:
+ Os usuários criados com a fábrica de contas não são removidos.
+ Os grupos criados pela configuração do AWS Control Tower não são removidos.
+ Os conjuntos de permissões criados pelo AWS Control Tower não são removidos.
+ As associações entre AWS contas e conjuntos de permissões do IAM Identity Center não são removidas.
+ Os diretórios do Centro de Identidade do IAM não são alterados. 
+ Essas políticas do Centro de Identidade do IAM para AWS Control Tower não são removidas:
  + `AWSControlTowerAdminPolicy`
  + `AWSControlTowerCloudTrailRolePolicy`
  + `AWSControlTowerStackSetRolePolicy`

**Perfis**

Durante a configuração, o AWS Control Tower cria determinadas funções para você se você usar o console, ou solicita que você crie essas funções se você configurar sua landing zone por meio do APIs. Ao desativar a zona de pouso, os seguintes perfis não são removidos:
+ `AWSControlTowerAdmin`
+ `AWSControlTowerCloudTrailRole`
+ `AWSControlTowerStackSetRole`
+ `AWSControlTowerConfigAggregatorRoleForOrganizations`

**nota**  
 A `AWSControlTowerExecution` função nas contas dos membros será excluída quando o landing zone for excluído, independentemente de o AWS Control Tower ter criado a função em seu nome ou se você tiver criado a função manualmente. No entanto, se você anexou políticas adicionais a essa função ou modificou as políticas associadas a essa função, o AWS Control Tower pode não conseguir excluir essa função durante a exclusão da zona de pouso. Nesses casos, a exclusão da Landing Zone será bem-sucedida, mas a função será mantida em sua conta de membro. 

**Buckets do Amazon S3**

Durante a configuração, o AWS Control Tower cria buckets na conta de arquivamento de logs da AWS CloudTrail e na conta agregadora central de configuração para a integração do AWS Config. O AWS Control Tower cria buckets para registro e acesso em log em cada uma dessas contas. Ao desativar a zona de destino, os seguintes recursos não são removidos:
+ O registro e o registro de acesso aos buckets do S3 na conta de arquivamento de registros não são removidos.
+ O registro e o registro de buckets do S3 de acesso na conta agregadora central de configuração não são removidos.
+ O conteúdo do registro e dos buckets de acesso ao registro em cada uma dessas contas não é removido.

**Contas de integração de serviços**

O AWS Control Tower exige que cada configuração de integração de serviços tenha uma conta central. Essa conta pode ou não ser criada durante a configuração do AWS Control Tower com base na versão da landing zone. Ao desativar a zona de destino:
+ As contas de integração de serviços que foram criadas durante a configuração do AWS Control Tower não são fechadas.
+ A função `OrganizationAccountAccessRole` do IAM é recriada para se alinhar à configuração padrão AWS Organizations .
+ A função `AWSControlTowerExecution` é removida.

**Contas provisionadas**

Os clientes do AWS Control Tower podem usar a fábrica de contas para criar novas AWS contas. Ao desativar a zona de destino:
+ As contas provisionadas criadas com a Fábrica de contas não são encerradas.
+ Os produtos provisionados não AWS Service Catalog são removidos. Se você limpá-los encerrando-os, suas contas serão movidas para a **UO raiz**.
+ A VPC que o AWS Control Tower criou não é removida, e o conjunto de pilhas associado do AWS CloudFormation (`BP_ACCOUNT_FACTORY_VPC`) não é removido. 
+ A função `OrganizationAccountAccessRole` do IAM é recriada para se alinhar à configuração padrão AWS Organizations .
+ A função `AWSControlTowerExecution` é removida.

**CloudWatch Grupo de registros**
+ Um grupo de CloudWatch registros de registros`aws-controltower/CloudTrailLogs`,, é criado como parte do blueprint chamado`AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER`. Esse grupo de logs não é removido. Em vez disso, o esquema é excluído e os recursos são mantidos.

**nota**  
Os clientes na landing zone 3.0 e versões posteriores não precisam excluir os registros e CloudTrail as funções de CloudTrail registros de suas contas individuais inscritas, pois eles são criados somente na conta de gerenciamento, para a trilha em nível organizacional.  
A partir da versão 3.2 do landing zone, o AWS Control Tower cria uma EventBridge regra da Amazon, chamada`AWSControlTowerManagedRule`. Essa regra é criada em cada conta-membro, para todas as regiões administradas. A regra não é excluída automaticamente durante o descomissionamento, então você deve excluí-la manualmente das contas de integração de serviços e das contas de membros de todas as regiões governadas antes de poder configurar um landing zone em uma nova região.

Os procedimentos sobre como excluir recursos do AWS Control Tower são fornecidos em [Remover recursos do AWS Control Tower](walkthrough-delete.md).

# Remover recursos do AWS Control Tower
<a name="walkthrough-delete"></a>

Este documento fornece instruções sobre como remover recursos do AWS Control Tower individualmente, como parte de tarefas administrativas e de manutenção regulares. Os procedimentos fornecidos neste capítulo destinam-se somente à remoção de recursos individuais, ou de alguns recursos, quando necessário. Não é o mesmo que desativar a zona de pouso.

**Dois tipos de tarefas podem exigir a remoção de recursos:**
+ Para excluir recursos enquanto você gerencia sua zona de destino em situações comuns.
+ Para limpar os recursos que permaneceram após a desativação automatizada.

**Atenção**  
A remoção manual de recursos não permitirá que você configure uma nova zona de pouso. Não é o mesmo que desativação. Se você pretende desativar a zona de pouso do AWS Control Tower, siga as instruções em [Descomissionar uma zona de pouso do AWS Control Tower](decommission-landing-zone.md) antes de realizar qualquer ação descrita neste capítulo. As instruções neste capítulo podem ajudar a limpar os recursos que restam após a conclusão da desativação automática. Mesmo se excluir todos os recursos da zona de pouso manualmente, não será o mesmo que desativar a zona de destino e você poderá incorrer em cobranças inesperadas.

 Se você precisar remover uma conta do AWS Control Tower, consulte as seções a seguir para encerrar uma conta: 
+  [Unmanage an account](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html) 
+  [Close an account created in Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/delete-account.html) 

## Preciso desativar em vez de excluir?
<a name="about-decommissioning"></a>

Caso não pretenda mais usar o AWS Control Tower para sua empresa, ou caso precise de uma grande reimplantação de recursos organizacionais, talvez você queira desativar os recursos criados na configuração inicial da zona de pouso.
+ Após a conclusão do processo de desativação, alguns artefatos de recursos permanecem, como buckets do Amazon S3 e grupos de log do Amazon Logs. CloudWatch 
+ Você deve limpar manualmente os recursos restantes nas contas antes de configurar outra zona de pouso, e para evitar a possibilidade de cobranças inesperadas. Para obter mais informações, consulte [Recursos não removidos durante a desativação](resources-not-removed.md).

**Atenção**  
 Recomendamos veementemente realizar esse processo de desativação *somente se* você pretende parar de usar a zona de pouso. Esse processo não pode ser desfeito.

## Sobre a remoção de recursos do AWS Control Tower
<a name="manual-decommissioning"></a>

Os procedimentos individuais deste capítulo orientam você pelos métodos manuais de remoção de recursos do AWS Control Tower. Esses procedimentos podem ser seguidos quando você precisa excluir um recurso específico da zona de pouso.

Antes de realizar esses procedimentos, a menos que seja indicado de outra forma, você deve estar conectado Console de gerenciamento da AWS na região de origem da sua zona de destino e estar conectado como usuário do IAM ou usuário no IAM Identity Center com permissões administrativas para a conta de gerenciamento que contém sua zona de destino.

**Atenção**  
Essas são ações destrutivas que podem introduzir desvios de governança na configuração do AWS Control Tower. Não podem ser desfeitos.

**Topics**
+ [Preciso desativar em vez de excluir?](#about-decommissioning)
+ [Sobre a remoção de recursos do AWS Control Tower](#manual-decommissioning)
+ [Excluir SCPs](controltower-walkthrough-delete-scps.md)
+ [Excluir StackSets e acumular](controltower-walkthrough-delete-stacksets.md)
+ [Excluir buckets do Amazon S3 na conta de arquivamento de logs](controltower-walkthrough-delete-s3-buckets.md)
+ [Remover o produto e o portfólio do Account Factory](controltower-walkthrough-cleanup-account-factory.md)
+ [Remover perfis e políticas do AWS Control Tower](controltower-walkthrough-cleanup-identity.md)
+ [Ajuda para recursos do AWS Control Tower](#control-tower-cleanup-help)

# Excluir SCPs
<a name="controltower-walkthrough-delete-scps"></a>

O AWS Control Tower usa políticas de controle de serviço (SCPs) para seus controles. Este procedimento explica como excluir os itens SCPs especificamente relacionados ao AWS Control Tower.

**Para excluir AWS Organizations SCPs**

1. Abra o console Organizations em [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Abra a guia **Políticas** e encontre as Políticas de Controle de Serviços (SCPs) que têm o prefixo **aws-guardrails-** e faça o seguinte para cada SCP:

   1. Desanexe a SCP da UO associada.

   1. Exclua a SCP.

# Excluir StackSets e acumular
<a name="controltower-walkthrough-delete-stacksets"></a>

O AWS Control Tower usa StackSets e empilha para implantar controles Regras do AWS Config relacionados à sua landing zone. Os procedimentos a seguir demonstram passo a passo como excluir esses recursos específicos.

**Para excluir CloudFormation StackSets**

1. Abra o CloudFormation console em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

1. No menu de navegação à esquerda, escolha **StackSets**.

1. Para cada um StackSet com o prefixo **AWSControlTower**, faça o seguinte. Se você tiver muitas contas em um StackSet, isso pode levar algum tempo.

   1. Escolha o específico na StackSet tabela no painel. Isso abre a página de propriedades para isso StackSet.

   1. Na parte inferior da página, na tabela **Stacks**, faça um registro da AWS conta IDs para todas as contas na tabela. Copie a lista de todas as contas.

   1. Em **Ações**, escolha **Excluir pilhas de StackSet**.

   1. Em **Definir opções de implantação**, em **Locais de implantação**, escolha **Implantar pilhas em contas**.

   1. No campo de texto, insira a AWS conta da IDs qual você fez um registro na etapa 3.b, separada por vírgulas. Por exemplo: *123456789012*, *098765431098* e assim por diante.

   1. Em **Specify regions (Especificar regiões)**, escolha **Add all (Adicionar tudo)**, deixe o restante dos parâmetros na página definidos como os padrões e escolha **Next (Próximo)**.

   1. Na página **Review (Revisar)**, examine as opções e escolha **Delete stacks (Excluir pilhas)**.

   1. Na página de **StackSet propriedades**, você pode começar esse procedimento novamente para sua outra pessoa StackSets.

1. O processo é concluído quando os registros na tabela **Pilhas** das diferentes páginas de **StackSets propriedades** estão vazios.

1. Quando os registros na tabela de **Pilhas** estiverem vazios, escolha **Excluir StackSet**.

**Para excluir CloudFormation pilhas**

1. Abra o CloudFormation console em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

1. **No painel **Stacks**, pesquise todas as pilhas com o prefixo AWSControl Tower.**

1. Para cada pilha na tabela, faça o seguinte:

   1. Marque a caixa de seleção ao lado do nome da pilha.

   1. No menu **Actions (Ações)**, escolha **Delete Stack (Excluir pilha)**.

   1. Na caixa de diálogo aberta, examine as informações para ter certeza da precisão e escolha **Yes, Delete (Sim, excluir)**.

# Excluir buckets do Amazon S3 na conta de arquivamento de logs
<a name="controltower-walkthrough-delete-s3-buckets"></a>

Os procedimentos a seguir orientam você sobre como fazer login na conta de arquivamento de registros como usuário do IAM Identity Center no **AWSControlTowerExecution**grupo e, em seguida, excluir os buckets do Amazon S3 em sua conta de arquivamento de registros.

**Para fazer login na conta de arquivamento de logs com as permissões certas**

1. Abra o console Organizations em [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Na guia **Accounts (Contas)**, encontre a conta **Log archive (Arquivamento de logs)**.

1. No painel à direita aberto, anote o número da conta de arquivamento de logs.

1. Na barra de navegação, escolha o nome da conta para abrir o menu da conta.

1. Selecione **Mudar de perfil**.

1. Na página aberta, forneça o número da conta de arquivamento de logs em **Account (Conta)**.

1. Em **Função**, insira **AWSControlTowerExecution**.

1. O **Display Name (Nome de exibição)** é preenchido com texto.

1. Escolha a **Color (Cor)** favorita.

1. Selecione **Mudar de perfil**.

**Como excluir buckets do Amazon S3**

1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Procure nomes de bucket que contenham **aws-controltower**.

1. Para cada bucket na tabela, faça o seguinte:

   1. Escolha a caixa de seleção do bucket na tabela.

   1. Escolha **Excluir**.

   1. Na caixa de diálogo aberta, examine as informações para ter certeza de que elas sejam precisas, digite o nome do bucket para confirmar e escolha **Confirm (Confirmar)**.

# Remover o produto e o portfólio do Account Factory
<a name="controltower-walkthrough-cleanup-account-factory"></a>

O procedimento a seguir explica como fazer login como usuário do IAM Identity Center no **AWSServiceCatalogAdmins**grupo e depois limpar seu portfólio e produtos do Account Factory.

**Como fazer login na conta de gerenciamento com as permissões certas**

1. Acesse a URL do portal do usuário em *directory-id* .awsapps.com/start

1. Em **Conta da AWS **, encontre a conta de **Gerenciamento**.

1. Em **AWSServiceCatalogAdminFullAccess**, escolha **Console de gerenciamento** para entrar no Console de gerenciamento da AWS como esta função.

**Como limpar o Account Factory**

1. Abra o console do Service Catalog em [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).

1. No menu de navegação à esquerda, escolha **Portfolios list (Lista de portfólios)**.

1. Na tabela **Portfólios locais**, procure um portfólio chamado **Portfólio do Account Factory do AWS Control Tower**.

1. Escolha o nome desse portfólio para acessar a página de detalhes.

1. Expanda a seção **Restrições** da página e escolha o botão de opção da restrição com o nome do produto **Account Factory do AWS Control Tower**.

1. Escolha **REMOVE CONSTRAINTS (REMOVER RESTRIÇÕES)**.

1. Na caixa de diálogo exibida, examine as informações para verificar se elas estão precisas e escolha **CONTINUE (CONTINUAR)**.

1. Na seção **Produtos** da página, escolha o botão de opção do produto chamado **Account Factory do AWS Control Tower**.

1. Escolha **REMOVE PRODUCT (REMOVER PRODUTO)**.

1. Na caixa de diálogo exibida, examine as informações para verificar se elas estão precisas e escolha **CONTINUE (CONTINUAR)**.

1. Expanda a seção **Users, Groups, and Roles (Usuários, grupos e funções)** e escolha as caixas de seleção de todos os registros nessa tabela.

1. Escolha **REMOVE USERS, GROUP OR ROLE (REMOVER USUÁRIOS, GRUPOS OU FUNÇÕES)**.

1. Na caixa de diálogo exibida, examine as informações para verificar se elas estão precisas e escolha **CONTINUE (CONTINUAR)**.

1. No menu de navegação à esquerda, escolha **Portfolios list (Lista de portfólios)**.

1. Na tabela **Portfólios locais**, procure um portfólio chamado **Portfólio do Account Factory do AWS Control Tower**.

1. Escolha o botão de opção desse portfólio e escolha **DELETE PORTFOLIO (EXCLUIR PORTFÓLIO)**.

1. Na caixa de diálogo exibida, examine as informações para verificar se elas estão precisas e escolha **CONTINUE (CONTINUAR)**.

1. No menu de navegação à esquerda, escolha **Product list (Lista de produtos)**.

1. Na página **Produtos de administrador**, procure o produto chamado **Account Factory do AWS Control Tower**.

1. Escolha o produto para abrir a página **Admin product details (Detalhes do produto de administrador)**.

1. Em **Actions (Ações)**, escolha **Delete product (Excluir produto)**.

1. Na caixa de diálogo exibida, examine as informações para verificar se elas estão precisas e escolha **CONTINUE (CONTINUAR)**.

# Remover perfis e políticas do AWS Control Tower
<a name="controltower-walkthrough-cleanup-identity"></a>

Esses procedimentos mostram como limpar os perfis e as políticas que o AWS Control Tower criou quando a zona de pouso foi configurada ou posteriormente.

**Para excluir a função do IAM Identity Center AWSService CatalogEndUserAccess**

1. Abra o Centro de Identidade do AWS IAM console em [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Mude sua AWS região para sua região de origem, que é a região em que você configurou inicialmente o AWS Control Tower.

1. No menu de navegação à esquerda, escolha **Contas da AWS **.

1. Escolha o link da sua conta de gerenciamento.

1. **Escolha a lista suspensa para **Conjuntos de permissões **AWSServiceCatalogEndUserAccess****, selecione e escolha Remover.**

1. Escolha **Contas da AWS ** no painel à esquerda.

1. Abra a guia **Permission sets (Conjuntos de permissões)**.

1. Selecione **AWSServiceCatalogEndUserAccess**e exclua.

**Como excluir perfis do IAM**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No menu de navegação à esquerda, escolha **Roles (Funções)**.

1. Na tabela, pesquise funções com o nome **AWSControlTower**.

1. Para cada função na tabela, faça o seguinte:

   1. Escolha a caixa de seleção da função.

   1. Escolha **Excluir perfil**.

   1. Na caixa de diálogo aberta, examine as informações para verificar se elas estão precisas e escolha **Yes, delete (Sim, excluir)**.

**Como excluir políticas do IAM**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No menu de navegação à esquerda, escolha **Policies (Políticas)**.

1. Na tabela, pesquise políticas com o nome **AWSControlTower**.

1. Para cada política na tabela, faça o seguinte:

   1. Marque a caixa de seleção da política.

   1. Escolha **Policy actions (Ações da política)** e **Delete (Excluir)** no menu suspenso.

   1. Na caixa de diálogo aberta, examine as informações para verificar se elas estão precisas e escolha **Delete (Excluir)**.

## Ajuda para recursos do AWS Control Tower
<a name="control-tower-cleanup-help"></a>

Se você encontrar algum problema que não consiga resolver ao remover os recursos do AWS Control Tower, entre em contato com o [AWS Support](https://aws.amazon.com/premiumsupport/).

# Configuração após a desativação de uma zona de pouso
<a name="known-issues-decommissioning"></a>

Após desativar a zona de destino, não é possível executar a configuração com êxito novamente até que a limpeza manual esteja concluída. Além disso, sem a limpeza manual desses recursos restantes, você pode ter cobranças inesperadas. Você deve atentar-se às seguintes questões:
+ A conta de gerenciamento do AWS Control Tower faz parte da **UO raiz** do AWS Control Tower. Certifique-se de que esses perfis do IAM e políticas do IAM sejam removidas da conta de gerenciamento: 
  + Perfis: 

    `- AWSControlTowerAdmin`

    `- AWSControlTowerCloudTrailRole`

    `- AWSControlTowerStackSetRole`
  + Políticas: 

    `- AWSControlTowerAdminPolicy`

    `- AWSControlTowerCloudTrailRolePolicy`

    `- AWSControlTowerStackSetRolePolicy`
+ Talvez você queira excluir ou atualizar a configuração do Centro de Identidade do IAM existente para o AWS Control Tower antes de configurar uma zona de pouso novamente, mas não é necessário excluí-la.
+ Talvez você queira remover a VPC criada pelo AWS Control Tower.
+ A configuração falhará se os endereços de e-mail especificados para as contas de registro ou auditoria estiverem associados a uma AWS conta existente. Você pode fechar as AWS contas ou usar endereços de e-mail diferentes para configurar uma landing zone novamente. Como alternativa, você pode reutilizar essas contas compartilhadas existentes, com o recurso que permite que trazer suas próprias contas de auditoria e de registro em log. Para obter mais informações, consulte [Considerações sobre como trazer contas de segurança ou registro em log existentes](accounts.md#considerations-for-existing-shared-accounts).
+ A configuração falhará se os buckets do Amazon S3 com os seguintes nomes reservados já existirem na conta de registro em log:
  + `aws-controltower-logs-{accountId}-{region}` (usado para o bucket de registro).
  + `aws-controltower-s3-access-logs-{accountId}-{region}` (usado para o bucket de acesso de registro).

   Você deve renomear ou remover esses buckets, ou usar uma conta diferente para o registro.
+ A configuração falhará se a conta de gerenciamento tiver o grupo de registros existente,`aws-controltower/CloudTrailLogs`, em CloudWatch Registros. Você deve renomear ou remover o grupo de logs. 

**Antes de configurar um novo Região da AWS**

Se você pretende configurar um novo landing zone em uma nova AWS região, siga estas etapas adicionais. 
+ Insira o seguinte comando pela CLI:

  ```
  aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
  ```
+ Exclua a regra gerenciada restante, chamada `AWSControlTowerManagedRule`, das contas compartilhadas e contas-membros de todas as regiões administradas.

**nota**  
Você não pode configurar uma nova landing zone em uma organização de nível superior OUs chamada **Security** ou **Sandbox**. Você deve renomeá-los ou removê-los OUs para configurar uma landing zone novamente.