Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Smantellamento di una landing zone di AWS Control Tower
AWS Control Tower consente di configurare e gestire AWS ambienti sicuri con più account, noti come landing zone. Il processo di pulizia di tutte le risorse allocate da AWS Control Tower viene definito *decommissioning* di una landing zone.
Se non desideri più utilizzare AWS Control Tower, lo strumento di smantellamento automatico pulisce le risorse allocate da AWS Control Tower. Per iniziare il processo di disattivazione automatica, vai alla pagina **Impostazioni della zona di atterraggio**, seleziona la scheda Disattivazione e scegli Decommission **landing** zone.
Per un elenco delle azioni eseguite durante la disattivazione, consulta. [Panoramica del processo di smantellamento](decommissioning-process-overview.md)
**avvertimento**
L'eliminazione manuale di tutte le risorse AWS Control Tower non equivale alla disattivazione. Non ti permetterà di creare una nuova landing zone.
I tuoi dati e quelli esistenti non AWS Organizations vengono modificati dal processo di smantellamento, nei seguenti modi.
+ AWS Control Tower non rimuove i dati, ma rimuove solo parti della landing zone creata.
+ Una volta completato il processo di smantellamento, rimangono alcuni artefatti di risorse, come i bucket Amazon S3 e i gruppi di log Amazon Logs. CloudWatch Queste risorse devono essere eliminate manualmente prima di impostare un'altra landing zone e per evitare possibili costi associati alla gestione di determinate risorse.
+ Non è possibile utilizzare la disattivazione automatica per rimuovere una landing zone parzialmente configurata. Se il processo di configurazione della landing zone non riesce, è necessario risolvere lo stato di errore e configurarla fino in fondo per rendere possibile la disattivazione automatica oppure eliminare manualmente le risorse singolarmente.
*La disattivazione di una landing zone è un processo con conseguenze significative e non può essere annullata.* Le azioni di smantellamento intraprese da AWS Control Tower e gli artefatti che rimangono dopo la disattivazione sono descritti nelle sezioni seguenti.
**Importante**
Si consiglia vivamente di eseguire questo processo di disattivazione solo se si intende interrompere l'utilizzo della landing zone. Non è possibile ricreare lalanding zone esistente dopo averla disattivata.
# Panoramica del processo di smantellamento
Quando richiedi la disattivazione della tua landing zone, AWS Control Tower esegue le seguenti azioni.
+ Disattiva ogni controllo investigativo abilitato nella landing zone. AWS Control Tower elimina le CloudFormation risorse che supportano il controllo.
+ Disattiva ogni controllo preventivo rimuovendo le policy di controllo del servizio (SCPs) da. AWS Organizations Se una policy è vuota (cosa che dovrebbe succedere dopo aver rimosso tutte le policy SCPs gestite da AWS Control Tower), AWS Control Tower rimuove ed elimina completamente la policy.
+ Elimina tutti i blueprint distribuiti come. CloudFormation StackSets
+ Elimina tutti i blueprint distribuiti come stack in tutte le regioni. CloudFormation
+ Per ogni account fornito, AWS Control Tower esegue le seguenti azioni durante il processo di smantellamento.
+ Elimina i record di ogni account factory dell'account.
+ Revoca le autorizzazioni AWS Control Tower all'account rimuovendo il ruolo IAM creato da AWS Control Tower (a meno che non siano state aggiunte politiche aggiuntive) e ricrea il ruolo IAM standard. `OrganizationsFullAccessRole`
+ Rimuove i record dell'account da. AWS Service Catalog
+ Rimuove il prodotto di account factory e il portfolio da AWS Service Catalog.
+ Elimina i blueprint per gli account condivisi (Audit e Log Archive).
+ Revoca le autorizzazioni AWS Control Tower dagli account condivisi rimuovendo il ruolo IAM creato da AWS Control Tower (a meno che non siano state aggiunte politiche aggiuntive) e ricrea il ruolo IAM. `OrganizationsFullAccessRole`
+ Elimina i record relativi agli account condivisi.
+ Elimina i record relativi a quelli creati dal cliente. OUs
+ Elimina i record interni che identificano la regione di origine.
**Nota**
Dopo la disattivazione, è possibile rimuovere il blueprint VPC Account Factory (`BP_ACCOUNT_FACTORY_VPC`) per ripulire le route e i gateway NAT, se il VPC non era vuoto.
# Come disattivare una landing zone
Per disattivare la landing zone di AWS Control Tower dalla console, segui la procedura indicata qui.
**Nota**
Ti consigliamo di annullare la gestione degli account registrati prima della disattivazione.
1. Vai alla pagina delle **impostazioni della zona di atterraggio** nella console AWS Control Tower.
1. Scegli **Disattiva la tua landing zone** all'interno della sezione **Disattiva la tua landing zone** .
1. Viene visualizzata una finestra di dialogo che spiega l'azione che stai per eseguire, con un processo di conferma obbligatorio. Per confermare l'intenzione di disattivare, è necessario selezionare ogni casella e digitare la conferma come richiesto.
**Importante**
*Il processo di disattivazione non può essere annullato.*
1. Se confermi l'intenzione di disattivare la landing zone, verrai reindirizzato alla home page di AWS Control Tower durante la disattivazione. Il processo può richiedere fino a due ore.
1. Una volta completata la disattivazione, è necessario eliminare le risorse rimanenti manualmente prima di configurare una nuova landing zone dalla console AWS Control Tower. Queste risorse rimanenti includono alcuni bucket, organizzazioni e gruppi di CloudWatch log di Amazon S3 specifici.
**Nota**
*Queste azioni possono avere conseguenze significative sulle tue attività di fatturazione e conformità. Ad esempio, la mancata eliminazione di queste risorse può comportare addebiti imprevisti.*
Per ulteriori informazioni sull'eliminazione manuale delle risorse, vedere [Informazioni sulla rimozione delle risorse AWS Control Tower](walkthrough-delete.md#manual-decommissioning).
1. Se intendi configurare una nuova landing zone in una nuova AWS regione, segui questo passaggio aggiuntivo. Immettete il seguente comando tramite la CLI:
```
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
```
# Smonta la tua landing zone con APIs
Il processo di pulizia di tutte le risorse di una landing zone è denominato *smantellamento* di una landing zone.
**Importante**
Si consiglia vivamente di eseguire questo processo di disattivazione solo se si intende interrompere l'utilizzo della landing zone. Non è possibile ricreare lalanding zone esistente dopo averla disattivata.
Per maggiori dettagli sulla disattivazione di una landing zone, incluse informazioni importanti su come AWS Control Tower gestisce i tuoi dati e quelli esistenti AWS Organizations, consulta la pagina. [Smantellamento di una landing zone di AWS Control Tower](decommission-landing-zone.md)
Per disattivare una landing zone, chiama l'`DeleteLandingZone`API. Questa API restituisce un`OperationIdentifier`, che puoi quindi utilizzare quando chiami l'`GetLandingZoneOperation`API per verificare lo stato dell'operazione di eliminazione.
```
aws controltower delete-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H"
```
**Output:**
```
{
"operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```
# Attività di pulizia manuale necessarie dopo la disattivazione
Questa sezione elenca le attività di pulizia manuale da eseguire dopo la fase iniziale di smantellamento.
+ È necessario specificare indirizzi e-mail diversi per gli account Log archive e Audit se si crea una nuova landing zone dopo la disattivazione di una, oppure si segue la procedura per aggiungere i propri account Log Archive o Audit esistenti.
+ Il gruppo CloudWatch Logs log,`aws-controltower/CloudTrailLogs`, deve essere eliminato manualmente prima di configurare un'altra landing zone.
+ I due bucket Amazon S3 con nomi riservati per i log devono essere rimossi o rinominati manualmente.
+ **È necessario eliminare o rinominare manualmente le unità organizzative **Security e Sandbox** esistenti.**
**Nota**
Prima di poter eliminare l'organizzazione dell'**unità organizzativa AWS Control Tower Security**, è necessario eliminare gli account di registrazione e controllo, ma non l'account di gestione. Per eliminare questi account, è necessario [Quando accedere come utente root](root-login.md) all'account di controllo e all'account di registrazione ed eliminarli singolarmente.
+ Potresti voler eliminare manualmente la configurazione AWS IAM Identity Center (IAM Identity Center) per AWS Control Tower, ma puoi procedere con la configurazione IAM Identity Center esistente.
+ Potresti voler rimuovere il VPC creato da AWS Control Tower e rimuovere il set di AWS CloudFormation stack associato.
+ Prima di poter configurare una nuova landing zone in una nuova AWS regione, devi seguire questi passaggi aggiuntivi.
+ Immettete il seguente comando tramite la CLI:
```
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
```
+ Elimina la regola gestita rimanente, chiamata`AWSControlTowerManagedRule`, dagli account condivisi e membri per tutte le regioni governate. `AWSControlTowerManagedRule`è una EventBridge regola di Amazon.
# Risorse non rimosse durante la disattivazione
La disattivazione di una landing zone non inverte completamente il processo di configurazione di AWS Control Tower. Restano alcune risorse, che possono essere rimosse manualmente.
**AWS Organizations**
Per i clienti senza AWS Organizations organizzazioni esistenti, AWS Control Tower configura un'organizzazione con una o più unità organizzative (OUs). L'unità organizzativa **di sicurezza designata e l'unità organizzativa** **Sandbox** creata opzionalmente. Quando si disattiva la landing zone, la gerarchia dell'organizzazione viene mantenuta, come segue:
+ Le unità organizzative (OUs) create dalla console AWS Control Tower non vengono rimosse.
+ Security e Sandbox non OUs vengono rimossi.
+ L'organizzazione non viene eliminata da AWS Organizations.
+ Nessun account AWS Organizations (condiviso, assegnato o di gestione) viene spostato o rimosso.
**AWS IAM Identity Center (SSO)**
Per i clienti che non dispongono di una directory IAM Identity Center esistente, AWS Control Tower configura IAM Identity Center e configura una directory iniziale. Quando disattivi la landing zone, AWS Control Tower non apporta modifiche a IAM Identity Center. Se necessario, puoi eliminare manualmente le informazioni dell'IAM Identity Center memorizzate nel tuo account di gestione. In particolare, queste aree sono invariate dalla disattivazione:
+ Gli utenti creati con Account Factory non vengono rimossi.
+ I gruppi creati dalla configurazione di AWS Control Tower non vengono rimossi.
+ I set di autorizzazioni creati da AWS Control Tower non vengono rimossi.
+ Le associazioni tra AWS account e set di autorizzazioni IAM Identity Center non vengono rimosse.
+ Le directory di IAM Identity Center non vengono modificate.
+ Queste policy di IAM Identity Center per AWS Control Tower non vengono rimosse:
+ `AWSControlTowerAdminPolicy`
+ `AWSControlTowerCloudTrailRolePolicy`
+ `AWSControlTowerStackSetRolePolicy`
**Roles**
Durante la configurazione, AWS Control Tower crea determinati ruoli per te se usi la console, oppure ti chiede di creare questi ruoli se configuri la tua landing zone tramite APIs. Quando disattivate la vostra landing zone, i seguenti ruoli non vengono rimossi:
+ `AWSControlTowerAdmin`
+ `AWSControlTowerCloudTrailRole`
+ `AWSControlTowerStackSetRole`
+ `AWSControlTowerConfigAggregatorRoleForOrganizations`
**Nota**
Il `AWSControlTowerExecution` ruolo negli account dei membri verrà eliminato quando la landing zone viene eliminata, indipendentemente dal fatto che AWS Control Tower abbia creato il ruolo per tuo conto o se lo hai creato manualmente. Tuttavia, se hai associato policy aggiuntive a questo ruolo o modificato le policy associate a questo ruolo, AWS Control Tower potrebbe non essere in grado di eliminare questo ruolo durante l'eliminazione della Landing Zone. In questi casi, l'eliminazione della Landing Zone avrà esito positivo, ma il ruolo verrà mantenuto nell'account membro.
**Bucket Amazon S3**
Durante la configurazione, AWS Control Tower crea bucket nell'account di archiviazione dei log per AWS CloudTrail e nell'account di aggregazione centrale di configurazione per l'integrazione con AWS Config. AWS Control Tower crea bucket per la registrazione e per la registrazione degli accessi in ciascuno di questi account. Quando si disattiva la landing zone, le seguenti risorse non vengono rimosse:
+ I bucket S3 di accesso alla registrazione e alla registrazione nell'account di archivio dei registri non vengono rimossi.
+ I bucket S3 di registrazione e accesso alla registrazione nell'account di aggregazione centrale di configurazione non vengono rimossi.
+ I contenuti dei bucket di accesso alla registrazione e alla registrazione in ciascuno di questi account non vengono rimossi.
**Account di integrazione dei servizi**
AWS Control Tower richiede che ogni configurazione di integrazione del servizio disponga di un account centrale. Questo account può essere creato o meno durante la configurazione di AWS Control Tower in base alla versione landing zone. Quando si disattiva la landing zone:
+ Gli account di integrazione dei servizi creati durante la configurazione di AWS Control Tower non vengono chiusi.
+ Il ruolo `OrganizationAccountAccessRole` IAM viene ricreato per allinearlo alla configurazione standard AWS Organizations .
+ Il ruolo `AWSControlTowerExecution` viene rimosso.
**Account di cui è stato eseguito il provisioning**
I clienti di AWS Control Tower possono utilizzare account factory per creare nuovi AWS account. Quando si disattiva la landing zone:
+ Gli account di provisioning creati con account factory non vengono chiusi.
+ I prodotti forniti non AWS Service Catalog vengono rimossi. Se li ripulisci chiudendoli, i relativi account vengono spostati nell'unità organizzativa **principale**.
+ Il VPC creato da AWS Control Tower non viene rimosso e lo AWS CloudFormation stack set associato (`BP_ACCOUNT_FACTORY_VPC`) non viene rimosso.
+ Il ruolo `OrganizationAccountAccessRole` IAM viene ricreato per allinearlo alla configurazione standard. AWS Organizations
+ Il ruolo `AWSControlTowerExecution` viene rimosso.
**CloudWatch Registri (Log Group)**
+ Un gruppo di CloudWatch log dei registri,`aws-controltower/CloudTrailLogs`, viene creato come parte del blueprint denominato. `AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER` Questo gruppo di log non viene rimosso. Al contrario, il blueprint viene eliminato e le risorse vengono mantenute.
**Nota**
I clienti della landing zone 3.0 e versioni successive non devono eliminare i CloudTrail CloudTrail registri e i ruoli di registro dei singoli account registrati, poiché questi vengono creati solo nell'account di gestione, per il percorso a livello di organizzazione.
A partire dalla versione 3.2 della landing zone, AWS Control Tower crea una EventBridge regola Amazon, chiamata`AWSControlTowerManagedRule`. Questa regola viene creata in ogni account membro, per tutte le regioni governate. La regola non viene eliminata automaticamente durante la disattivazione, quindi è necessario eliminarla manualmente dagli account di integrazione del servizio e dagli account dei membri di tutte le regioni governate prima di poter configurare una landing zone in una nuova regione.
Le procedure per eliminare le risorse di AWS Control Tower sono riportate in[Rimuovi le risorse AWS Control Tower](walkthrough-delete.md).
# Rimuovi le risorse AWS Control Tower
Questo documento fornisce istruzioni su come rimuovere singolarmente le risorse AWS Control Tower, nell'ambito di normali attività amministrative e di manutenzione. Le procedure fornite in questo capitolo sono destinate esclusivamente alla rimozione di singole risorse, o di alcune risorse, quando necessario. Non è la stessa cosa che disattivare la landing zone.
**La rimozione di risorse può richiedere la rimozione di risorse per due tipi di attività:**
+ Eliminare le risorse mentre viene gestita la landing zone in situazioni ordinarie.
+ Per ripulire le risorse rimaste dopo lo smantellamento automatico.
**avvertimento**
La rimozione manuale delle risorse non ti consentirà di configurare una nuova landing zone. Non è la stessa cosa dello smantellamento. Se intendi smantellare la landing zone di AWS Control Tower, segui le istruzioni [Smantellamento di una landing zone di AWS Control Tower](decommission-landing-zone.md) prima di intraprendere qualsiasi azione descritta in questo capitolo. Le istruzioni contenute in questo capitolo possono aiutarti a ripulire le risorse rimaste dopo il completamento dello smantellamento automatico. Anche se elimini manualmente tutte le risorse della landing zone, non è come disattivarla e potresti incorrere in addebiti imprevisti.
Se devi rimuovere un account da AWS Control Tower, consulta le seguenti sezioni per chiudere un account:
+ [Annullare la gestione di un account](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html)
+ [Chiudere un account creato in Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/delete-account.html)
## Ho bisogno della disattivazione anziché dell'eliminazione?
Se non intendi più utilizzare AWS Control Tower per la tua azienda o se hai bisogno di una ridistribuzione importante delle risorse organizzative, potresti voler smantellare le risorse create durante la configurazione iniziale della landing zone.
+ Una volta completato il processo di smantellamento, rimangono alcuni artefatti di risorse, come i bucket Amazon S3 e i gruppi di log Amazon Logs. CloudWatch
+ Devi ripulire manualmente le risorse rimanenti nei tuoi account prima di configurare un'altra landing zone ed evitare la possibilità di addebiti imprevisti. Per ulteriori informazioni, consulta [Risorse non rimosse durante la disattivazione](resources-not-removed.md).
**avvertimento**
Ti consigliamo vivamente di eseguire una procedura di smantellamento *solo se* intendi smettere di usare la tua landing zone. Questo processo non può essere annullato.
## Informazioni sulla rimozione delle risorse AWS Control Tower
Le singole procedure in questo capitolo ti guidano attraverso i metodi manuali per rimuovere le risorse AWS Control Tower. Queste procedure possono essere seguite quando è necessario eliminare una risorsa specifica dalla landing zone.
Prima di eseguire queste procedure, salvo diversa indicazione, devi aver effettuato l' Console di gestione AWS accesso nella regione di origine della tua landing zone e devi aver effettuato l'accesso come utente IAM o utente in IAM Identity Center con autorizzazioni amministrative per l'account di gestione che contiene la tua landing zone.
**avvertimento**
Si tratta di azioni distruttive che possono introdurre una deriva di governance nella configurazione di AWS Control Tower. Non possono essere annullate.
**Topics**
+ [Ho bisogno della disattivazione anziché dell'eliminazione?](#about-decommissioning)
+ [Informazioni sulla rimozione delle risorse AWS Control Tower](#manual-decommissioning)
+ [Eliminare SCPs](controltower-walkthrough-delete-scps.md)
+ [Elimina e impila StackSets](controltower-walkthrough-delete-stacksets.md)
+ [Eliminare i bucket Amazon S3 nell'account Log Archive](controltower-walkthrough-delete-s3-buckets.md)
+ [Rimuovi un portafoglio e un prodotto Account Factory](controltower-walkthrough-cleanup-account-factory.md)
+ [Rimuovi i ruoli e le policy di AWS Control Tower](controltower-walkthrough-cleanup-identity.md)
+ [Guida alle risorse AWS Control Tower](#control-tower-cleanup-help)
# Eliminare SCPs
AWS Control Tower utilizza le policy di controllo dei servizi (SCPs) per i propri controlli. Questa procedura spiega come eliminare i file SCPs specificamente correlati ad AWS Control Tower.
**Eliminare AWS Organizations SCPs**
1. Apri la console Organizations all'indirizzo [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).
1. Apri la scheda **Policies** e trova le Service Control Policies (SCPs) che hanno il prefisso **aws-guardrails e procedi come segue per ogni SCP:**
1. Scollegare l'SCP dall'unità organizzativa associata.
1. Eliminare l'SCP.
# Elimina e impila StackSets
AWS Control Tower utilizza StackSets e distribuisce i controlli Regole di AWS Config relativi ai controlli nella landing zone. Le seguenti procedure illustrano come eliminare queste risorse specifiche.
**Per eliminare CloudFormation StackSets**
1. Apri la CloudFormation console in [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dal menu di navigazione a sinistra, scegli. **StackSets**
1. Per ognuno StackSet con il prefisso **AWSControlTower**, procedi come segue. Se hai molti account in un account StackSet, l'operazione può richiedere del tempo.
1. Scegli lo specifico StackSet dalla tabella nella dashboard. Si apre la relativa pagina delle proprietà StackSet.
1. Nella parte inferiore della pagina, nella tabella **Stacks**, registrate l' AWS account IDs per tutti gli account della tabella. Copiare l'elenco di tutti gli account.
1. In **Azioni**, scegli **Elimina pile da**. StackSet
1. In **Imposta le opzioni di distribuzione**, da **Posizioni di distribuzione**, scegli **Distribuisci gli stack negli account**.
1. Nel campo di testo, inserisci l' AWS account di IDs cui hai registrato al passaggio 3.b, separato da virgole. Ad esempio: *123456789012*, *098765431098* e così via.
1. Da **Specify regions (Specifica regioni)**, scegliere **Add all (Aggiungi tutti)**, lasciare le impostazioni predefinite per il resto dei parametri nella pagina e selezionare **Next (Successivo)**.
1. Nella pagina **Review (Revisione)**, rivedere le scelte, quindi selezionare **Delete stacks (Elimina stack)**.
1. Nella pagina delle **StackSet proprietà**, puoi ricominciare questa procedura per l'altro utente. StackSets
1. Il processo è completo quando i record nella tabella **Stacks** delle diverse pagine delle **StackSets proprietà** sono vuoti.
1. **Quando i record nella tabella **Stacks** sono vuoti, scegli Elimina. StackSet**
**Per eliminare le pile CloudFormation**
1. Apri la CloudFormation console in [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. **Dalla dashboard **Stacks**, cerca tutti gli stack con il prefisso Tower. AWSControl**
1. Per ogni stack nella tabella, eseguire le operazioni seguenti:
1. Selezionare la casella di controllo accanto al nome dello stack.
1. Dal menu **Actions (Operazioni)**, scegliere **Delete Stack (Elimina stack)**.
1. Nella finestra di dialogo visualizzata, rivedere le informazioni per assicurarsi che siano accurate e scegliere **Yes, Delete (Sì, Elimina)**.
# Eliminare i bucket Amazon S3 nell'account Log Archive
Le seguenti procedure ti guidano su come accedere all'account di archiviazione dei log come utente IAM Identity Center nel **AWSControlTowerExecution**gruppo e quindi eliminare i bucket Amazon S3 nel tuo account di archivio dei log.
**Per effettuare l'accesso all'account di archivio dei log con le autorizzazioni corrette**
1. Apri la console Organizations all'indirizzo [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).
1. Nella scheda **Accounts (Account)**, individuare l'account **Log archive (Archivio di log)**.
1. Dal riquadro destro visualizzato, creare un record del numero dell'account di archivio dei log.
1. Dalla barra di navigazione, scegliere il nome account per aprire il menu account.
1. Seleziona **Switch Role** (Cambia ruolo).
1. Nella pagina visualizzata, indicare il numero di account per l'account di archivio dei log in **Account**.
1. Per **Ruolo**, inserisci **AWSControlTowerExecution**.
1. Il campo **Display Name (Nome visualizzato)** viene compilato con testo.
1. Scegliere l'opzione **Color (Colore)** preferita.
1. Seleziona **Switch Role** (Cambia ruolo).
**Per eliminare i bucket Amazon S3**
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Cercare i nomi dei bucket che contengono **aws-controltower**.
1. Per ogni bucket nella tabella, eseguire le operazioni seguenti:.
1. Selezionare la casella di controllo per il bucket nella tabella.
1. Scegli **Elimina**.
1. Nella finestra di dialogo visualizzata, rivedere le informazioni per assicurarsi che siano accurate, immettere il nome del bucket per confermare, quindi scegliere **Confirm (Conferma)**.
# Rimuovi un portafoglio e un prodotto Account Factory
La procedura seguente illustra come accedere come utente IAM Identity Center nel **AWSServiceCatalogAdmins**gruppo e quindi ripulire il portafoglio e i prodotti Account Factory.
**Per accedere al tuo account di gestione con le autorizzazioni corrette**
1. Vai all'URL del tuo portale utente all'indirizzo *directory-id* .awsapps.com/start
1. **In Account, trova l'**AWS account** di gestione.**
1. Da **AWSServiceCatalogAdminFullAccess**, scegli **Console di gestione** per accedere a Console di gestione AWS As this role.
**Per ripulire Account Factory**
1. Aprire la console Service Catalog all'indirizzo [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).
1. Dal menu di navigazione a sinistra, scegliere **Portfolios list (Elenco portafogli)**.
1. Nella tabella **Local Portfolios**, cercate un portafoglio denominato **AWS Control Tower Account Factory Portfolio**.
1. Scegliere il nome di tale portafoglio per passare alla pagina dei dettagli.
1. Espandi la sezione **Vincoli** della pagina e scegli il pulsante di opzione per il vincolo con il nome del prodotto Control Tower **AWS Account** Factory.
1. Scegliere **REMOVE CONSTRAINTS (RIMUOVI VINCOLI)**.
1. Nella finestra di dialogo visualizzata, rivedere le informazioni per assicurarsi che siano accurate e scegliere **CONTINUE (CONTINUA)**.
1. Dalla sezione **Prodotti** della pagina, scegli il pulsante di opzione per il prodotto denominato **AWS Control Tower Account Factory**.
1. Scegliere **REMOVE PRODUCT (RIMUOVI PRODOTTO)**.
1. Nella finestra di dialogo visualizzata, rivedere le informazioni per assicurarsi che siano accurate e scegliere **CONTINUE (CONTINUA)**.
1. Espandere la sezione **Users, Groups, and Roles (Utenti, gruppi e ruoli)** della pagina e selezionare le caselle di controllo per tutti i record in questa tabella.
1. Scegliere **REMOVE USERS, GROUP OR ROLE (RIMUOVI UTENTI, GRUPPO O RUOLI)**.
1. Nella finestra di dialogo visualizzata, rivedere le informazioni per assicurarsi che siano accurate e scegliere **CONTINUE (CONTINUA)**.
1. Dal menu di navigazione a sinistra, scegliere **Portfolios list (Elenco portafogli)**.
1. Nella tabella **Local Portfolios**, cercate un portafoglio denominato **AWS Control Tower Account Factory Portfolio**.
1. Scegliere il pulsante di opzione per tale portafoglio, quindi selezionare **DELETE PORTFOLIO (ELIMINA PORTAFOGLIO)**.
1. Nella finestra di dialogo visualizzata, rivedere le informazioni per assicurarsi che siano accurate e scegliere **CONTINUE (CONTINUA)**.
1. Dal menu di navigazione a sinistra, scegliere **Product list (Elenco prodotti)**.
1. Nella pagina **dei prodotti di amministrazione**, cerca il prodotto denominato **AWS Control Tower Account Factory**.
1. Scegliere il prodotto per aprire la pagina **Admin product details (Dettagli prodotto amministratore)**.
1. Da **Actions (Operazioni)**, scegliere **Delete product (Elimina prodotto)**.
1. Nella finestra di dialogo visualizzata, rivedere le informazioni per assicurarsi che siano accurate e scegliere **CONTINUE (CONTINUA)**.
# Rimuovi i ruoli e le policy di AWS Control Tower
Queste procedure illustrano come ripulire i ruoli e le policy che AWS Control Tower ha creato al momento della configurazione della landing zone o successivamente.
**Per eliminare il AWSService CatalogEndUserAccess ruolo IAM Identity Center**
1. Apri la AWS IAM Identity Center console all'indirizzo [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Cambia la tua AWS regione con la tua regione di residenza, che è la regione in cui hai inizialmente configurato AWS Control Tower.
1. Dal menu di navigazione a sinistra, scegli **AWS account**.
1. Scegli il link del tuo account di gestione.
1. Scegli il menu a discesa relativo ai **set di autorizzazioni **AWSServiceCatalogEndUserAccess****, seleziona e quindi scegli **Rimuovi**.
1. Scegli **AWS gli account** dal pannello di sinistra.
1. Aprire la scheda **Permission sets (Set di autorizzazioni)**.
1. Selezionalo **AWSServiceCatalogEndUserAccess**ed eliminalo.
**Per eliminare i ruoli IAM**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dal menu di navigazione a sinistra, scegliere **Roles (Ruoli)**.
1. Nella tabella, cerca i ruoli con il nome **AWSControlTower**.
1. Per ogni ruolo nella tabella, procedere nel modo seguente:
1. Selezionare la casella di controllo per il ruolo.
1. Scegli **Delete role (Elimina ruolo)**.
1. Nella finestra di dialogo visualizzata, rivedere le informazioni per assicurarsi che siano accurate e scegliere **Yes, Delete (Sì, Elimina)**.
**Per eliminare le policy IAM**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dal menu di navigazione a sinistra, scegliere **Policies (Policy)**.
1. Nella tabella, cerca le politiche con il nome **AWSControlTower**.
1. Per ogni policy nella tabella, procedere nel modo seguente:
1. Selezionare la casella di controllo per la policy.
1. Scegliere **Policy actions (Operazioni policy)** e **Delete (Elimina)** dal menu a discesa.
1. Nella finestra di dialogo visualizzata, rivedere le informazioni per assicurarsi che siano accurate, quindi scegliere **Delete (Elimina)**.
## Guida alle risorse AWS Control Tower
Se riscontri problemi che non riesci a risolvere quando rimuovi le risorse AWS Control Tower, contatta [AWS Support](https://aws.amazon.com/premiumsupport/).
# Configurazione dopo la disattivazione di una landing zone
Dopo aver disattivato la landing zone, non è possibile eseguire nuovamente l'installazione fino al completamento della pulizia manuale. Inoltre, senza la pulizia manuale di queste risorse rimanenti, è possibile che vengano addebitati costi di fatturazione imprevisti. È necessario occuparsi di questi problemi:
+ L'account di gestione AWS Control Tower fa parte dell'unità organizzativa AWS Control Tower **Root**. Assicurati che questi ruoli IAM e le policy IAM vengano rimossi dall'account di gestione:
+ Ruoli:
`- AWSControlTowerAdmin`
`- AWSControlTowerCloudTrailRole`
`- AWSControlTowerStackSetRole`
+ Policy:
`- AWSControlTowerAdminPolicy`
`- AWSControlTowerCloudTrailRolePolicy`
`- AWSControlTowerStackSetRolePolicy`
+ Potresti voler eliminare o aggiornare la configurazione esistente di IAM Identity Center per AWS Control Tower prima di configurare nuovamente una landing zone, ma non è necessario eliminarla.
+ Potresti voler rimuovere il VPC creato da AWS Control Tower.
+ La configurazione fallisce se gli indirizzi e-mail specificati per gli account di registrazione o di controllo sono associati a un account esistente AWS . Puoi chiudere gli AWS account o utilizzare indirizzi e-mail diversi per configurare nuovamente una landing zone. In alternativa, puoi riutilizzare questi account condivisi esistenti, con la funzione che ti consente di creare i tuoi account di registrazione e controllo. Per ulteriori informazioni, consulta [Considerazioni sull'utilizzo degli account di sicurezza o di registrazione esistenti](accounts.md#considerations-for-existing-shared-accounts).
+ L'installazione non riesce se nell'account di registrazione sono già presenti bucket Amazon S3 con i seguenti nomi riservati:
+ `aws-controltower-logs-{accountId}-{region}` ( utilizzato per il bucket di registrazione).
+ `aws-controltower-s3-access-logs-{accountId}-{region}` ( utilizzato per il bucket di accesso alla registrazione).
È necessario rinominare o rimuovere questi bucket oppure utilizzare un account diverso per l'account di registrazione.
+ L'installazione fallisce se l'account di gestione ha il gruppo di log esistente,`aws-controltower/CloudTrailLogs`, in Logs. CloudWatch È necessario rinominare o rimuovere il gruppo di log.
**Prima di configurarlo in un nuovo Regione AWS**
Se intendi configurare una nuova landing zone in una nuova AWS regione, segui questi passaggi aggiuntivi.
+ Immettete il seguente comando tramite la CLI:
```
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
```
+ Elimina la regola gestita rimanente, chiamata`AWSControlTowerManagedRule`, dagli account condivisi e membri per tutte le regioni governate.
**Nota**
Non è possibile configurare una nuova landing zone in un'organizzazione con un livello superiore OUs denominato **Security** o **Sandbox**. È necessario rinominarli o rimuoverli OUs per configurare nuovamente una landing zone.