本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 停用登录区后进行设置 停用您的登录区后,在手动清理完成之前,您无法再次成功执行设置。此外,如果不手动清理这些剩余资源,您可能会产生意外的账单费用。您必须注意以下问题: + AWS Control Tower 管理账户隶属于 AWS Control Tower **根 OU**。请确保已从管理账户中删除这些 IAM 角色和 IAM 策略: + 角色: `- AWSControlTowerAdmin` `- AWSControlTowerCloudTrailRole` `- AWSControlTowerStackSetRole` + 策略: `- AWSControlTowerAdminPolicy` `- AWSControlTowerCloudTrailRolePolicy` `- AWSControlTowerStackSetRolePolicy` + 您可能希望在再次设置登录区之前删除或更新 AWS Control Tower 的现有 IAM Identity Center 配置,但不需要删除它。 + 您可能希望删除由 AWS Control Tower 创建的 VPC。 + 如果为日志或审计帐户指定的电子邮件地址与现有 AWS 帐户相关联,则安装将失败。您可以关闭 AWS 账户,也可以使用不同的电子邮件地址重新设置着陆区。或者,您可以重复使用这些现有的共享账户,利用允许您引入自己的日志记录和审计账户的功能。有关更多信息,请参阅 [引入现有安全账户或日志记录账户方面的注意事项](accounts.md#considerations-for-existing-shared-accounts)。 + 如果日志记录账户中已存在具有以下保留名称的 Amazon S3 存储桶,则设置过程将失败: + `aws-controltower-logs-{accountId}-{region}`(用于日志记录存储桶)。 + `aws-controltower-s3-access-logs-{accountId}-{region}`(用于日志记录访问存储桶)。 您必须重命名或删除这些存储桶,或者为日志记录账户使用其他账户。 + 如果管理账户在 “日志” 中 CloudWatch 拥有现有的日志组`aws-controltower/CloudTrailLogs`,则安装将失败。您必须重命名或删除日志组。 **在设置新版本之前 AWS 区域** 如果您打算在新区域中设置新的着陆 AWS 区,请按照以下额外步骤操作。 + 通过 CLI 输入以下命令: ``` aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com ``` + 从所有受监管区域的共享账户和成员账户中删除剩余的名 `AWSControlTowerManagedRule` 为的托管规则。 **注意** 您不能在顶级 OUs 名为 “**安全**” 或 “**沙盒”** 的组织中设置新的着陆区。您必须重命名或移除它们 OUs 才能重新设置着陆区。