本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 停用 AWS Control Tower 登录区
<a name="decommission-landing-zone"></a>

AWS Control Tower 允许您设置和管理安全的多账户 AWS 环境，即着陆区。清理由 AWS Control Tower 分配的所有资源的过程称为*停用*登录区。

如果您不想再使用 AWS Control Tower，自动停用工具会清理 AWS Control Tower 分配的资源。要开始自动停用过程，请导航至**登录区设置**页面，选择“停用”选项卡，然后选择**停用登录区**。

有关在停用期间执行的操作的列表，请参阅 [停用过程概述](decommissioning-process-overview.md)。

**警告**  
手动删除您的所有 AWS Control Tower 资源与停用不同。这样做您将无法设置新的登录区。

 停用过程不会通过以下方式更改您的数据和现有 AWS Organizations 数据。
+ AWS Control Tower 不会删除您的数据，而是仅删除它创建的登录区的某些部分。
+ 停用过程完成后，仍有一些资源项目，例如 Amazon S3 存储桶和 Amazon Lo CloudWatch gs 日志组。在设置另一个登录区之前，必须手动删除这些资源，以避免产生与维护某些资源相关的可能成本。
+ 您无法使用自动停用功能来删除部分设置的登录区。如果登录区设置过程失败，则必须解析故障状态并将其设置为可以自动停用，或者必须手动逐个删除资源。

*停用登录区是一个具有重大后果的过程且无法撤消。*下面的章节介绍由 AWS Control Tower 采取的停用操作以及停用后保留的构件。

**重要**  
 我们强烈建议您仅在打算停止使用登录区时才执行此停用过程。在您停用现有的登录区后，无法重新创建此登录区。

# 停用过程概述
<a name="decommissioning-process-overview"></a>

当您请求停用登录区时，AWS Control Tower 会执行以下操作。
+ 禁用登录区中启用的每个侦测性控件。AWS Control Tower 会删除支持该控件的 CloudFormation 资源。
+ 通过从 AWS Organizations中删除服务控制策略 (SCPs) 来禁用每项预防性控制。如果策略为空（应该在移除所有由 AWS Control Tower SCPs 管理的策略之后才是空的），AWS Control Tower 会分离并完全删除该策略。
+ 删除所有部署为 CloudFormation StackSets的蓝图。
+ 删除所有区域中作为 CloudFormation 堆栈部署的所有蓝图。
+ 对于每个预置账户，AWS Control Tower 会在停用过程中执行以下操作。
  + 删除每个 Account Factory 账户的记录。
  + 通过删除 AWS Control Tower 已创建的 IAM 角色（除非已向其添加其他策略）撤销对账户的 AWS Control Tower 权限，然后重新创建标准 `OrganizationsFullAccessRole` IAM 角色。
  + 从中删除该账户的记录 AWS Service Catalog。
  + 从 AWS Service Catalog中删除 Account Factory 产品和产品组合。
+ 删除共享（审计和日志存档）账户的蓝图。
+ 通过删除 AWS Control Tower 已创建的 IAM 角色（除非已向其添加其他策略）从共享账户撤销 AWS Control Tower 权限，然后重新创建此 `OrganizationsFullAccessRole` IAM 角色。
+ 删除与共享账户相关的记录。
+ 删除与客户创建 OUs的相关记录。
+ 删除标识主区域的内部记录。

**注意**  
停用后，如果您的 VPC 不为空，您可能希望删除 Account Factory VPC 蓝图（`BP_ACCOUNT_FACTORY_VPC`）以清理路由和 NAT 网关。

# 如何停用登录区
<a name="how-to-decommission"></a>

要从控制台停用您的 AWS Control Tower 登录区，请按照以下提供的步骤操作。

**注意**  
建议您在停用之前取消对已注册账户的管理。

1. 在 AWS Control Tower 控制台中导航至**登录区设置**页面。

1. 在**停用您的登录区**部分中选择**停用您的登录区**。

1.  此时将显示一个对话框，说明您将要执行的操作，并提供必要的确认流程。要确认您的停用意图，您必须选择每个框并按要求键入确认。
**重要**  
*停用过程无法撤销。*

1. 如果您确认停用登录区的意图，在停用过程中您将被重定向到 AWS Control Tower 主页。该过程可能需要长达两个小时。

1. 停用成功后，您必须手动删除剩余的资源，然后再从 AWS Control Tower 控制台设置新的登录区。这些剩余资源包括一些特定的 Amazon S3 存储桶、组织和 CloudWatch 日志组。
**注意**  
*这些操作可能会对您的账单和合规性活动产生重大影响。例如，未能删除这些资源可能会导致意外费用。*

    有关如何手动删除资源的更多信息，请参阅 [关于删除 AWS Control Tower 资源](walkthrough-delete.md#manual-decommissioning)。

1. 如果您打算在新区域中设置新的着陆 AWS 区，请按照此额外步骤操作。通过 CLI 输入以下命令：

   ```
   aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
   ```

# 使用以下方式停用您的着陆区 APIs
<a name="lz-api-decommission"></a>

清理所有登录区资源的过程称为*停用*登录区。

**重要**  
我们强烈建议您仅在打算停止使用登录区时才执行此停用过程。在您停用现有的登录区后，无法重新创建此登录区。

有关停用着陆区的更多详细信息，包括有关 AWS Control Tower 如何处理您的数据和现有数据的重要信息 AWS Organizations，请查看[停用 AWS Control Tower 登录区](decommission-landing-zone.md)。

要停用登录区，请调用 `DeleteLandingZone` API。此 API 会返回一个 `OperationIdentifier`，然后您可以在调用 `GetLandingZoneOperation` API 时使用它来检查删除操作的状态。

```
 aws controltower delete-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H"
```

**输出**：

```
{
   "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```

# 停用后需要手动执行清理任务
<a name="manual-cleanup-required"></a>

本节列出了在初始停用步骤之后必须执行的手动清理任务。
+ 如果您在停用登录区后创建一个新的登录区，或者按照流程引入自己的现有日志存档或审计账户，则必须为日志存档和审计账户指定不同的电子邮件地址。
+ 在设置另一个 landing zone 之前`aws-controltower/CloudTrailLogs`，必须手动删除 Log CloudWatch s 日志组。
+ 必须手动删除或重命名对于日志具有保留名称的两个 Amazon S3 存储桶。
+ 您必须手动删除或重命名现有**安全**和**沙盒**组织单元。
**注意**  
在删除 AWS Control Tower **安全 OU** 组织之前，必须先删除日志记录账户和审计账户，但不要删除管理账户。要删除这些账户，您必须 [何时以根用户身份登录](root-login.md) 到审计账户和日志记录账户，然后单独删除它们。
+  您可能希望手动删除 AWS Control Tower 的 AWS IAM Identity Center （IAM 身份中心）配置，但您可以继续使用现有的 IAM 身份中心配置。
+ 您可能希望移除由 AWS Control Tower 创建的 VPC，并移除相关的 AWS CloudFormation 堆栈集。
+ 在新 AWS 区域中设置新的着陆区之前，必须执行以下额外步骤。
  + 通过 CLI 输入以下命令：

    ```
    aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
    ```
  + 从所有受管辖区域的共享账户和成员账户中删除剩余的名`AWSControlTowerManagedRule`为的托管规则。 `AWSControlTowerManagedRule`是 Amazon 的 EventBridge 规则。

# 在停用期间未删除的资源
<a name="resources-not-removed"></a>

停用登录区不会完全逆转 AWS Control Tower 设置过程。某些资源仍然存在，可以手动将其删除。

**AWS Organizations**

对于没有现有 AWS Organizations 组织的客户，AWS Control Tower 会建立一个包含一个或多个组织单位 (OUs) 的组织。指定的**安全 OU** 和可选创建的**沙盒 OU**。当您停用登录区时，将保留组织的层次结构，如下所示：
+ 您通过 AWS Control Tower 控制台创建的组织单位 (OUs) 不会被删除。
+ 安全性和沙盒未 OUs 被移除。
+ 该组织未从中删除 AWS Organizations。
+ 中的任何帐户 AWS Organizations （共享、已配置或管理）都不会被移动或删除。

**AWS IAM Identity Center (SSO)**

对于尚且没有 IAM Identity Center 目录的客户，AWS Control Tower 会设置 IAM Identity Center 并配置初始目录。当您停用登录区时，AWS Control Tower 不会对 IAM Identity Center 进行任何更改。如果需要，您可以手动删除存储在管理账户中的 IAM Identity Center 信息。特别是，停用不会更改以下这些方面：
+ 不会删除使用 Account Factory 创建的用户。
+ 不会删除由 AWS Control Tower 安装程序创建的组。
+ 不会删除由 AWS Control Tower 创建的权限集。
+  AWS 账户与 IAM Identity Center 权限集之间的关联不会被删除。
+ 不会更改 IAM Identity Center 目录。
+ 不会删除以下适用于 AWS Control Tower 的 IAM Identity Center 策略：
  + `AWSControlTowerAdminPolicy`
  + `AWSControlTowerCloudTrailRolePolicy`
  + `AWSControlTowerStackSetRolePolicy`

**角色**

在设置过程中，如果您使用控制台，AWS Control Tower 会为您创建某些角色；如果您通过控制台设置着陆区，AWS Control Tower 会要求您创建这些角色 APIs。当您停用登录区时，不会删除以下角色：
+ `AWSControlTowerAdmin`
+ `AWSControlTowerCloudTrailRole`
+ `AWSControlTowerStackSetRole`
+ `AWSControlTowerConfigAggregatorRoleForOrganizations`

**注意**  
 无论是 AWS Control Tower 代表您创建`AWSControlTowerExecution`角色还是您手动创建了该角色，着陆区被删除后，成员账户中的角色都将被删除。但是，如果您为该角色附加了其他策略，或者修改了附加到该角色的策略，AWS Control Tower 可能无法在着陆区域删除期间删除此角色。在这种情况下，将成功删除着陆区，但角色将保留在您的成员账户中。

**Amazon S3 存储桶**

在设置过程中，AWS Control Tower 在 AWS 的日志存档账户 CloudTrail 和用于集成 AWS Config 的配置中央聚合器账户中创建存储桶。AWS Control Tower 在每个账户中创建用于记录和登录访问的存储桶。当您停用登录区时，不会删除以下资源：
+ 不会删除日志存档账户中的日志记录和日志访问权限 S3 存储桶。
+ 不会删除配置中心聚合器账户中的日志记录和日志访问权限 S3 存储桶。
+ 这些账户中每个账户中的日志和日志访问存储桶的内容都不会被删除。

**服务集成账户**

AWS Control Tower 要求每个服务集成配置都有一个中央账户。此账户可能是在基于着陆区版本的 AWS Control Tower 设置期间创建的，也可能不会创建。当您停用登录区时：
+ 在 AWS Control Tower 设置期间创建的服务集成账户不会关闭。
+ 重新创建 `OrganizationAccountAccessRole` IAM 角色以符合标准 AWS Organizations 配置。
+ 删除 `AWSControlTowerExecution` 角色。

**预置账户**

AWS Control Tower 客户可以使用账户工厂来创建新 AWS 账户。当您停用登录区时：
+ 不会关闭您使用 Account Factory 创建的预置账户。
+ 中的预配置产品不会 AWS Service Catalog 被移除。如果您通过终止它们来进行清理，那么它们所属的账户将会移至**根 OU**。
+ 不会删除 AWS Control Tower 创建的 VPC，以及关联的 AWS CloudFormation 堆栈集（`BP_ACCOUNT_FACTORY_VPC`）。
+ 重新创建 `OrganizationAccountAccessRole` IAM 角色以符合标准 AWS Organizations 配置。
+ 删除 `AWSControlTowerExecution` 角色。

**CloudWatch 日志日志组**
+ 作为名为的蓝图的一部分`aws-controltower/CloudTrailLogs`，创建了一个 CloudWatch 日志日志组`AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER`。不会删除此日志组。相反，将删除蓝图并保留资源。

**注意**  
landing zone 3.0 及更高版本的客户无需删除其个人注册账户的 CloudTrail CloudTrail 日志和日志角色，因为这些角色仅在管理账户中为组织级别的跟踪创建。  
从着陆区版本 3.2 开始，AWS Control Tower 创建了一条名为的亚马逊 EventBridge 规则`AWSControlTowerManagedRule`。此规则是在所有受监管区域的每个成员账户中创建的。在停用期间，该规则不会自动删除，因此您必须先从所有受管辖区域的服务集成账户和成员账户中手动将其删除，然后才能在新区域中设置着陆区。

[删除 AWS Control Tower 资源](walkthrough-delete.md) 中提供了有关如何删除 AWS Control Tower 资源的流程。

# 删除 AWS Control Tower 资源
<a name="walkthrough-delete"></a>

本文档提供了有关如何在日常维护和管理任务中单独删除 AWS Control Tower 资源的说明。本章中所述的过程仅用于在需要时删除单项资源或少量资源。这与停用您的登录区不同。

**有两种类型的任务可能需要您删除资源：**
+ 在常规情况下管理登录区时删除资源。
+ 清理自动停用后仍保留的资源。

**警告**  
手动删除资源后，您将无法设置新的登录区。这与停用不同。如果您打算停用 AWS Control Tower 登录区，请在采取本章所述的任何操作之前按照 [停用 AWS Control Tower 登录区](decommission-landing-zone.md) 中的说明进行操作。本章中的说明有助于您清理自动停用完成后剩余的资源。即使您手动删除所有登录区资源，这也与停用登录区不同，并且可能会产生意外费用。

 如果您需要从 AWS Control Tower 中删除账户，请参阅以下各节来关闭账户：
+  [取消账户管理](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html) 
+  [关闭在 Account Factory 中创建的账户](https://docs.aws.amazon.com/controltower/latest/userguide/delete-account.html) 

## 我需要停用而不是删除吗？
<a name="about-decommissioning"></a>

如果您不再打算将 AWS Control Tower 用于您的企业，或者如果您需要大规模重新部署您的组织资源，您可能需要清理最初设置登录区时创建的资源。
+ 停用过程完成后，仍有一些资源项目，例如 Amazon S3 存储桶和 Amazon Lo CloudWatch gs 日志组。
+ 在设置另一个登录区之前，您必须手动清理账户中的剩余资源，以避免产生意外费用的可能性。有关更多信息，请参阅 [在停用期间未删除的资源](resources-not-removed.md)。

**警告**  
 我们强烈建议您仅在**打算停止使用登录区时才执行停用过程。此流程无法撤消。

## 关于删除 AWS Control Tower 资源
<a name="manual-decommissioning"></a>

本章中所述的各个过程将指导您通过手动方法完成删除 AWS Control Tower 资源。当您需要从登录区删除特定资源时，您可以遵循这些过程。

在执行这些程序之前，除非另有说明，否则您必须登录到着陆区域的主区域，并且必须以 IAM 用户或用户身份登录 IAM Identity Center，并拥有包含您的着陆区的管理账户的管理权限。 AWS 管理控制台 

**警告**  
这些是具备破坏性的操作，可能会将监管偏移引入您的 AWS Control Tower 设置中。这些操作无法撤消。

**Topics**
+ [我需要停用而不是删除吗？](#about-decommissioning)
+ [关于删除 AWS Control Tower 资源](#manual-decommissioning)
+ [删除 SCPs](controltower-walkthrough-delete-scps.md)
+ [删除 StackSets 和堆叠](controltower-walkthrough-delete-stacksets.md)
+ [删除日志存档账户中的 Amazon S3 存储桶](controltower-walkthrough-delete-s3-buckets.md)
+ [删除 Account Factory 产品组合和产品](controltower-walkthrough-cleanup-account-factory.md)
+ [删除 AWS Control Tower 角色和策略](controltower-walkthrough-cleanup-identity.md)
+ [AWS Control Tower 资源帮助](#control-tower-cleanup-help)

# 删除 SCPs
<a name="controltower-walkthrough-delete-scps"></a>

AWS Control Tower 使用服务控制策略 (SCPs) 进行控制。此过程介绍如何删除与 AWS Control Tower SCPs 特别相关的内容。

**要删除 AWS Organizations SCPs**

1. 打开 “组织” 控制台，网址为[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)。

1. 打开 “**策略**” 选项卡，找到前缀为 **aws-guardrails-** 的服务控制策略 (SCPs)，然后对每个 SCP 执行以下操作：

   1. 将 SCP 与关联的 OU 分离。

   1. 删除 SCP。

# 删除 StackSets 和堆叠
<a name="controltower-walkthrough-delete-stacksets"></a>

AWS Control Tower 使用 StackSets 和堆栈来部署 AWS Config 规则 与您的着陆区中的控件相关的控件。以下过程演练如何删除这些特定资源。

**要删除 CloudFormation StackSets**

1. 在 [https://console.aws.amazon.com/cloudformat](https://console.aws.amazon.com/cloudformation/) ion 上打开 CloudFormation 控制台。

1. 从左侧导航菜单中选择**StackSets**。

1. 对于前缀为 **AWSControlTower** 的每个 StackSet ，请执行以下操作。如果您在 a 中有多个帐户 StackSet，则可能需要一些时间。

   1.  StackSet 从仪表板的表格中选择具体的。这将打开其属性页面 StackSet。

   1. 在页面底部的**堆栈**表中，记录表格中所有账户的账户。 AWS IDs 复制所有账户的列表。

   1. 在**操作**中，选择从**中删除堆栈。 StackSet**

   1. 在**设置部署选项**上，从**部署位置**中选择**在账户中部署堆栈**。

   1. 在文本字段中，输入 IDs 您在步骤 3.b 中记录的 AWS 账户，用逗号分隔。例如：*123456789012*、*098765431098* 等。

   1. 从**指定区域**中，选择**全部添加**，将页面上的其余参数保留其默认值，然后选择**下一步**。

   1. 在**查看**页面上，查看您的选择，然后选择**删除堆栈**。

   1. 在**StackSet 属性**页面上，您可以为其他人重新开始此过程 StackSets。

1. 当不同**StackSets 属性**页面的 **Stacks** 表中的记录为空时，该过程即告完成。

1. 当 “**堆栈**” 表中的记录为空时，选择 “**删除 StackSet**”。

**删除 CloudFormation 堆栈**

1. 在 [https://console.aws.amazon.com/cloudformat](https://console.aws.amazon.com/cloudformation/) ion 上打开 CloudFormation 控制台。

1. **在**堆栈**控制面板中，搜索所有前缀AWSControl为 Tower 的堆栈。**

1. 对于表中的每个堆栈，执行以下操作：

   1. 选中堆栈名称旁边的复选框。

   1. 从**操作**菜单中选择**删除堆栈**。

   1. 在打开的对话框中，查看相关信息以确保其准确，然后选择**是，删除**。

# 删除日志存档账户中的 Amazon S3 存储桶
<a name="controltower-walkthrough-delete-s3-buckets"></a>

以下过程将指导您如何以 IAM Identity Center 用户身份登录日志存档账户，然后删除日志存档账户中的 Amazon S3 存储桶。**AWSControlTowerExecution**

**使用适当权限登录日志存档账户**

1. 打开 “组织” 控制台，网址为[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)。

1. 从**账户**选项卡中，找到**日志存档**账户。

1. 从打开的右窗格中，记录日志存档账号。

1. 从导航栏中，选择您的账户名称以打开账户菜单。

1. 选择**切换角色**。

1. 在打开的页面上，提供**账户**中日志存档账户的账号。

1. 对于 “**角色**”，输入**AWSControlTowerExecution**。

1. 这将向**显示名称**填充文本。

1. 选择您喜爱的**颜色**。

1. 选择**切换角色**。

**删除 Amazon S3 存储桶**

1. 打开 Amazon S3 控制台，网址为 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。

1. 搜索包含 **aws-controltower** 的存储桶名称。

1. 对于表中的每个存储桶，执行以下操作：

   1. 选中表中存储桶的复选框。

   1. 选择**删除**。

   1. 在打开的对话框中，查看相应信息以确保其准确，输入存储桶名称以进行确认，然后选择**确认**。

# 删除 Account Factory 产品组合和产品
<a name="controltower-walkthrough-cleanup-account-factory"></a>

以下过程将指导您完成如何在**AWSServiceCatalogAdmins**群组中以 IAM 身份中心用户身份登录，然后清理您的 Account Factory 产品组合和产品。

**使用适当权限登录管理账户**

1. 前往你的用户门户网址，网址为 *directory-id* .awsapps.com/start

1. 在 **AWS 账户**中，找到**管理**账户。

1. 从**AWSServiceCatalogAdminFullAccess**中选择**管理控制台** AWS 管理控制台 以此角色登录。

**清除 Account Factory**

1. 打开 Service Catalog 控制台，网址为[https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)。

1. 从左侧导航菜单中，选择**产品组合列表**。

1. 在**本地产品组合**表中，搜索名为 **AWS Control Tower Account Factory 产品组织**的产品组合。

1. 选择该产品组合的名称以转至其详细信息页面。

1. 展开页面的**约束**部分，并选择产品名 **AWS Control Tower Account Factory** 的约束的单选按钮。

1. 选择**删除约束**。

1. 在打开的对话框中，查看相应信息以确保其准确，然后选择**继续**。

1. 在页面的**产品**部分中，选择名为 **AWS Control Tower Account Factory** 的产品的单选按钮。

1. 选择**删除产品**。

1. 在打开的对话框中，查看相应信息以确保其准确，然后选择**继续**。

1. 展开页面的**用户、组和角色**部分，并选中此表中所有记录的复选框。

1. 选择**删除用户、组或角色**。

1. 在打开的对话框中，查看相应信息以确保其准确，然后选择**继续**。

1. 从左侧导航菜单中，选择**产品组合列表**。

1. 在**本地产品组合**表中，搜索名为 **AWS Control Tower Account Factory 产品组织**的产品组合。

1. 选择该产品组合的单选按钮，然后选择**删除产品组合**。

1. 在打开的对话框中，查看相应信息以确保其准确，然后选择**继续**。

1. 从左侧导航菜单中，选择**产品列表**。

1. 在**管理产品**页面上，搜索名为 **AWS Control Tower Account Factory** 的产品。

1. 选择产品以打开**管理产品详细信息**页面。

1. 从**操作**中，选择**删除产品**。

1. 在打开的对话框中，查看相应信息以确保其准确，然后选择**继续**。

# 删除 AWS Control Tower 角色和策略
<a name="controltower-walkthrough-cleanup-identity"></a>

这些过程将指导您完成以下操作：清除在设置登录区时或设置完成 AWS Control Tower 后创建的角色和策略。

**删除 IAM 身份中心 AWSServiceCatalogEndUserAccess 角色**

1. 打开 AWS IAM Identity Center 控制台，网址为[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)。

1. 将您的 AWS 区域更改为您的主区域，即您最初设置 AWS Control Tower 的区域。

1. 从左侧导航菜单中，选择 **AWS 账户**。

1. 选择您的管理账户链接。

1. 选择 “**权限集**” 的下拉列表，选择 **AWSServiceCatalogEndUserAccess**，然后选择 “**删除**”。

1. 从左侧面板中选择 **AWS 账户**。

1. 打开**权限集**选项卡。

1. 选择**AWSServiceCatalogEndUserAccess**并删除它。

**要删除 IAM 角色**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 从左侧导航菜单中，选择**角色**。

1. 从表格中搜索名为 **AWSControlTower** 的角色。

1. 对于表中的每个角色，执行以下操作：

   1. 选中角色的复选框。

   1. 选择**删除角色**。

   1. 在打开的对话框中，查看相关信息以确保其准确，然后选择**是，删除**。

**删除 IAM 策略**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 从左侧导航菜单中，选择**策略**。

1. 从表中搜索名为 **AWSControlTower** 的策略。

1. 对于表中的每个策略，执行以下操作：

   1. 选中策略的复选框。

   1. 选择**策略操作**，然后从下拉菜单中选择**删除**。

   1. 在打开的对话框中，查看相关信息以确保其准确，然后选择**删除**。

## AWS Control Tower 资源帮助
<a name="control-tower-cleanup-help"></a>

如果您在删除 AWS Control Tower 资源时遇到任何无法解决的问题，请联系 [AWS Support](https://aws.amazon.com/premiumsupport/)。

# 停用登录区后进行设置
<a name="known-issues-decommissioning"></a>

停用您的登录区后，在手动清理完成之前，您无法再次成功执行设置。此外，如果不手动清理这些剩余资源，您可能会产生意外的账单费用。您必须注意以下问题：
+ AWS Control Tower 管理账户隶属于 AWS Control Tower **根 OU**。请确保已从管理账户中删除这些 IAM 角色和 IAM 策略：
  + 角色：

    `- AWSControlTowerAdmin`

    `- AWSControlTowerCloudTrailRole`

    `- AWSControlTowerStackSetRole`
  + 策略：

    `- AWSControlTowerAdminPolicy`

    `- AWSControlTowerCloudTrailRolePolicy`

    `- AWSControlTowerStackSetRolePolicy`
+ 您可能希望在再次设置登录区之前删除或更新 AWS Control Tower 的现有 IAM Identity Center 配置，但不需要删除它。
+ 您可能希望删除由 AWS Control Tower 创建的 VPC。
+ 如果为日志或审计帐户指定的电子邮件地址与现有 AWS 帐户相关联，则安装将失败。您可以关闭 AWS 账户，也可以使用不同的电子邮件地址重新设置着陆区。或者，您可以重复使用这些现有的共享账户，利用允许您引入自己的日志记录和审计账户的功能。有关更多信息，请参阅 [引入现有安全账户或日志记录账户方面的注意事项](accounts.md#considerations-for-existing-shared-accounts)。
+ 如果日志记录账户中已存在具有以下保留名称的 Amazon S3 存储桶，则设置过程将失败：
  + `aws-controltower-logs-{accountId}-{region}`（用于日志记录存储桶）。
  + `aws-controltower-s3-access-logs-{accountId}-{region}`（用于日志记录访问存储桶）。

   您必须重命名或删除这些存储桶，或者为日志记录账户使用其他账户。
+ 如果管理账户在 “日志” 中 CloudWatch 拥有现有的日志组`aws-controltower/CloudTrailLogs`，则安装将失败。您必须重命名或删除日志组。

**在设置新版本之前 AWS 区域**

如果您打算在新区域中设置新的着陆 AWS 区，请按照以下额外步骤操作。
+ 通过 CLI 输入以下命令：

  ```
  aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
  ```
+ 从所有受监管区域的共享账户和成员账户中删除剩余的名 `AWSControlTowerManagedRule` 为的托管规则。

**注意**  
您不能在顶级 OUs 名为 “**安全**” 或 “**沙盒”** 的组织中设置新的着陆区。您必须重命名或移除它们 OUs 才能重新设置着陆区。