本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 解除委任期間未移除的資源 解除委任登陸區域並不會完全反轉 AWS Control Tower 設定程序。某些資源仍然存在,可以手動移除。 **AWS Organizations** 對於沒有現有 AWS Organizations 組織的客戶,AWS Control Tower 會設定具有一或多個組織單位 (OUs的組織。指定的**安全 OU** 和選用建立的**沙盒 OU**。當您解除委任登陸區域時,會保留組織的階層,如下所示: + 您從 AWS Control Tower 主控台建立的組織單位 (OUs) 不會移除。 + 安全與沙盒 OUs不會移除。 + 組織不會從中刪除 AWS Organizations。 + AWS Organizations (共用、佈建或管理) 中的任何帳戶都不會移動或移除。 **AWS IAM Identity Center (SSO)** 對於沒有現有 IAM Identity Center 目錄的客戶,AWS Control Tower 會設定 IAM Identity Center 並設定初始目錄。當您停用登陸區域時,AWS Control Tower 不會對 IAM Identity Center 進行任何變更。如有需要,您可以手動刪除存放在管理帳戶中的 IAM Identity Center 資訊。特別是,解除委任不會變更這些區域: + 使用帳戶團隊建立的使用者不會被移除。 + AWS Control Tower 設定建立的群組不會移除。 + AWS Control Tower 建立的許可集不會移除。 + AWS 帳戶與 IAM Identity Center 許可集之間的關聯不會移除。 + IAM Identity Center 目錄不會變更。 + AWS Control Tower 的這些 IAM Identity Center 政策不會移除: + `AWSControlTowerAdminPolicy` + `AWSControlTowerCloudTrailRolePolicy` + `AWSControlTowerStackSetRolePolicy` **角色** 在設定期間,如果您使用 主控台,AWS Control Tower 會為您建立特定角色,或者如果您透過 APIs 設定登陸區域,則會要求您建立這些角色。當您停用登陸區域時,不會移除下列角色: + `AWSControlTowerAdmin` + `AWSControlTowerCloudTrailRole` + `AWSControlTowerStackSetRole` + `AWSControlTowerConfigAggregatorRoleForOrganizations` **注意** 刪除登陸區域時,無論是 AWS Control Tower 代表您建立角色,還是手動建立角色,`AWSControlTowerExecution`成員帳戶中的角色都會遭到刪除。不過,如果您已將其他政策附加至此角色,或修改附加至此角色的政策,AWS Control Tower 可能無法在刪除登陸區域期間刪除此角色。在這種情況下,登陸區域刪除會成功,但角色會保留在您的成員帳戶中。 **Amazon S3 儲存貯體** 在設定期間,AWS Control Tower 會在 AWS CloudTrail 的日誌封存帳戶中建立儲存貯體,並在 AWS Config 整合的組態中央彙總器帳戶中建立儲存貯體。AWS Control Tower 會建立用於記錄和記錄每個帳戶中存取的儲存貯體。當您解除委任登陸區域時,不會移除下列資源: + 不會移除日誌封存帳戶中的日誌和記錄存取 S3 儲存貯體。 + 不會移除組態中央彙整工具帳戶中的記錄和記錄存取 S3 儲存貯體。 + 不會移除每個帳戶中記錄和記錄存取儲存貯體的內容。 **服務整合帳戶** AWS Control Tower 要求每個服務整合組態都有一個中央帳戶。此帳戶不一定會在根據登陸區域版本的 AWS Control Tower 設定期間建立。當您解除委任登陸區域時: + 在 AWS Control Tower 設定期間建立的服務整合帳戶不會關閉。 + IAM `OrganizationAccountAccessRole` 角色會重新建立以符合標準 AWS Organizations 組態。 + 會移除 `AWSControlTowerExecution` 角色。 **佈建的帳戶** AWS Control Tower 客戶可以使用帳戶工廠來建立新 AWS 帳戶。當您解除委任登陸區域時: + 您使用帳戶團隊建立的佈建帳戶不會關閉。 + 中的佈建產品 AWS Service Catalog 不會移除。如果您透過終止這些帳戶來清除這些帳戶,其帳戶會移至**根 OU**。 + 不會移除 AWS Control Tower 建立的 VPC,也不會移除相關聯的 AWS CloudFormation 堆疊集 (`BP_ACCOUNT_FACTORY_VPC`)。 + IAM `OrganizationAccountAccessRole` 角色會重新建立以符合標準 AWS Organizations 組態。 + 會移除 `AWSControlTowerExecution` 角色。 **CloudWatch Logs 日誌群組** + CloudWatch Logs 日誌群組 `aws-controltower/CloudTrailLogs`會建立為名為 的藍圖的一部分`AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER`。不會移除此日誌群組。而是刪除藍圖並保留資源。 **注意** 登陸區域 3.0 和更新版本的客戶不需要刪除其個別註冊帳戶的 CloudTrail 日誌和 CloudTrail 日誌角色,因為這些角色僅在管理帳戶中針對組織層級追蹤建立。 從登陸區域 3.2 版開始,AWS Control Tower 會建立稱為 的 Amazon EventBridge 規則`AWSControlTowerManagedRule`。此規則會針對所有受管區域,在每個成員帳戶中建立。解除委任期間不會自動刪除規則,因此您必須先從服務整合帳戶和所有受管區域的成員帳戶手動刪除規則,才能在新區域中設定登陸區域。 有關如何刪除 AWS Control Tower 資源的程序,請參閱 [移除 AWS Control Tower 資源](walkthrough-delete.md)。