本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 解除委任登陸區域後的設定 解除委任登陸區域之後,在手動清理完成之前,您無法再次成功執行安裝程式。此外,如果沒有手動清理這些剩餘資源,您可能會產生意外的帳單費用。您必須注意以下問題: + AWS Control Tower 管理帳戶是 AWS Control Tower **根 OU **的一部分。請確定已從管理帳戶移除這些 IAM 角色和 IAM 政策: + 角色: `- AWSControlTowerAdmin` `- AWSControlTowerCloudTrailRole` `- AWSControlTowerStackSetRole` + 政策: `- AWSControlTowerAdminPolicy` `- AWSControlTowerCloudTrailRolePolicy` `- AWSControlTowerStackSetRolePolicy` + 在再次設定登陸區域之前,您可能想要刪除或更新 AWS Control Tower 的現有 IAM Identity Center 組態,但不需要將其刪除。 + 您可能想要移除 AWS Control Tower 建立的 VPC。 + 如果為記錄或稽核帳戶指定的電子郵件地址與現有 AWS 帳戶相關聯,則設定會失敗。您可以關閉 AWS 帳戶,或使用不同的電子郵件地址再次設定登陸區域。或者,您可以重複使用這些現有的共用帳戶,搭配可讓您使用自己的記錄和稽核帳戶的功能。如需詳細資訊,請參閱[引進現有安全或記錄帳戶的考量事項](accounts.md#considerations-for-existing-shared-accounts)。 + 如果記錄帳戶中已存在具有下列預留名稱的 Amazon S3 儲存貯體,則設定失敗: + `aws-controltower-logs-{accountId}-{region}` (用於日誌儲存貯體)。 + `aws-controltower-s3-access-logs-{accountId}-{region}` (用於日誌記錄存取儲存貯體)。 您必須重新命名或移除這些儲存貯體,或為日誌帳戶使用不同的帳戶。 + 如果管理帳戶在 CloudWatch Logs 中有現有的日誌群組 `aws-controltower/CloudTrailLogs`,則設定會失敗。您必須重新命名或移除日誌群組。 **在新的 中設定 之前 AWS 區域** 如果您想要在新區域中設定新的登陸區域 AWS ,請遵循這些額外步驟。 + 透過 CLI 輸入下列命令: ``` aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com ``` + 從所有受管區域的共用和成員帳戶刪除剩餘的受管規則`AWSControlTowerManagedRule`,稱為 。 **注意** 您無法在名為 **Security** 或 **Sandbox** 的頂層 OUs組織中設定新的登陸區域。您必須重新命名或移除這些 OU,才能再次設定登陸區域。