本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 演练：配置不含 VPC 的 AWS Control Tower
<a name="configure-without-vpc"></a>

本主题演示如何配置不含 VPC 的 AWS Control Tower 账户。

如果您的工作负载不需要 VPC，可以执行以下操作：
+ 您可以删除 AWS Control Tower 虚拟私有云（VPC）。此 VPC 是在您设置登录区域时创建的。
+ 您可以更改 Account Factory 设置，以便创建不含关联 VPC 的新 AWS Control Tower 账户。

**重要**  
如果您在启用 VPC 互联网访问权限设置的情况下预置 Account Factory 账户，Account Factory 设置会覆盖以下控制设置：[禁止客户管理的 Amazon VPC 实例访问互联网](https://docs.aws.amazon.com//controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access)。要避免为新预置的账户启用互联网访问权限，您必须在 Account Factory 中更改设置。

## 删除 AWS Control Tower VPC
<a name="delete-master-vpc"></a>

在 AWS Control Tower 之外，每个 AWS 客户都有一个默认 VPC，您可以在亚马逊虚拟私有云（亚马逊 VPC）控制台上查看该默认 VPC，网址为[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。您可以识别出默认 VPC，因为其名称的末尾位置总是包含*（默认值）*字样。

在您设置 AWS Control Tower 着陆区时，AWS Control Tower 会删除您的 AWS 默认 VPC 并创建一个新的 AWS 控制塔默认 VPC。新的 VPC 已与您的 AWS Control Tower 管理账户关联。本主题讨论的是作为 Control Tower VPC** 的新 VPC。

当您在 Amazon VPC 控制台中查看 AWS Control Tower VPC 时，在名称末尾将看不到**（默认值）**字样。如果您有多个 VPC，必须使用分配的 CIDR 范围来识别正确的 AWS Control Tower VPC。

您可以删除 AWS Control Tower VPC，但如果稍后在 AWS Control Tower 中需要一个 VPC，您必须自行创建。

**删除 AWS Control Tower VPC**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在 Service Catalog 选项中搜索 **VPC** 或选择 **VPC**。然后，您可以看到 **VPC 控制面板**。

1. 从左侧菜单中选择 “**你的**” VPCs。然后，您会看到所有内容的清单 VPCs.

1. 通过 AWS Control Tower VPC 的 CIDR 范围来识别它。

1. 要删除 VPC，请选择**操作**，然后选择**删除 VPC**。

AWS Control Tower 管理账户的每个区域中都已存在一个 AWS *（默认）*VPC。为了遵循最佳安全实践，如果您选择删除 AWS Control Tower VPC，则最好同时从所有 AWS 区域中删除与该管理账户关联的 AWS 默认 VPC。因此，为了保护管理账户的安全，请从各个区域中删除默认 VPC，并删除 Control Tower 在您的 AWS Control Tower 主区域中创建的 VPC。

## （可选）清理账户中的 VPC 资源
<a name="remove-a-vpc"></a>

或者，要清理 AWS Control Tower VPC 资源，在确保 VPC 中没有现有资源或资源依赖关系之后 AWS CloudFormation StackSet`AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`，可以从现有账户中删除堆栈实例。`aws-controltower-VPC`

## 在 AWS Control Tower 中创建一个不含 VPC 的账户
<a name="create-without-vpc"></a>

如果您的最终用户工作负载不需要 VPCs，则可以使用此方法来设置未自动为其 VPCs 创建的最终用户帐户。

从 AWS Control Tower 控制面板中，您可以查看和编辑网络配置设置。将设置更改为创建不含关联 VPC 的 AWS Control Tower 账户后，创建的所有新账户都不含 VPC，直到您再次更改设置。



**配置 Account Factory 以创建不带以下条件的账户 VPCs**

1. 打开网络浏览器，然后导航到 [https://console.aws.amazon.com/controltower 上的 AWS Control Tower 控制](https://console.aws.amazon.com/controltower)台。

1. 从左侧菜单中选择 **Account Factory**。

1. 然后，您将看到“Account Factory”页面，其中包含**网络配置**部分。

1. 请记录当前设置（如果您打算以后恢复设置的话）。

1. 在**网络配置**部分中选择**编辑**按钮。

1.  在**编辑 Account Factory 网络配置**页面中，转到**新账户的 VPC 配置选项**部分。

   您可以按照**选项 1** 和/或**选项 2** 来确保 AWS Control Tower 在预置账户时不会创建 VPC。

   1. 

**选项 1 – 删除子网**
      + 关闭**可通过 Internet 访问的子网**切换开关。
      + 将**私有子网的最大数量**值设置为 0。

   1. 

**选项 2-移除 AWS 区域**
      + 清除**创建 VPC 的区域**列中的每个复选框。

1. 选择**保存**。

### 可能的错误
<a name="error-notes"></a>

请注意，当您删除您的 AWS Control Tower VPC 或重新配置 Account Factory 以创建没有 VPCs该虚拟私有云的账户时，可能会发生这些错误。
+ 您的现有主账户可能在 AWS Control Tower VPC 中具有依赖项或资源，而这可能导致删除失败**错误。
+ 如果您在设置时保留默认 CIDR，以便启动不含 VPC 的新账户，则您的请求将失败并出现*该 CIDR 无效*错误。