AWS Organizations で組織からメンバーアカウントを削除する - AWS Organizations

AWS Organizations で組織からメンバーアカウントを削除する

メンバーアカウントを削除してもアカウントは閉鎖されません。そのメンバーアカウントは組織から削除されます。それまでのメンバーアカウントは AWS Organizations の管理対象から外れ、スタンドアロンの AWS アカウント になります。

その後、そのアカウントにはポリシーが適用されなくなり、請求書の支払いはそのアカウントの責任となります。アカウントが組織から削除された後は、そのアカウントで発生した費用については、組織の管理アカウントには請求されなくなります。

考慮事項

管理アカウントによって作成された IAM アクセスロールは自動的に削除されません

メンバーアカウントを組織から削除しても、組織の管理アカウントによるアクセスを有効にするために作成された IAM ロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、その IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、IAM ユーザーガイドのロールまたはインスタンスプロファイルの削除を参照してください。

アカウントがスタンドアロンアカウントとして動作するために必要な情報を持っている場合に限り、組織からアカウントを削除できる

アカウントがスタンドアロンアカウントとして動作するために必要な情報を持っている場合に限り、組織からアカウントを削除できます。AWS Organizations コンソール、API、AWS CLI コマンドを使用して組織内にアカウントを作成しても、スタンドアロンアカウントの必須情報がすべて自動的に収集されるわけではありません。

スタンドアロンとして使用する各アカウントについて、サポートプランを選択し、必須の連絡先情報を入力および検証して、現在の支払い方法を入力する必要があります。この支払い方法は、アカウントが組織に関連付けられていない間に発生する課金対象 (AWS 無料利用枠外) の AWS アクティビティに対して課金するために AWS によって使用されます。この情報がないアカウントを削除するには、「AWS Organizations でメンバーアカウントから組織を退会する」の手順に従ってください。

アカウントが作成されてから少なくとも 7 日間待つ必要がある

組織内に作成したアカウントを削除するには、アカウントが作成されてから 7 日以上が経過している必要があります。招待されたアカウントの場合には、7 日間待つ必要はありません。

退出するアカウントの所有者が、発生したすべての新しいコストを負担する

アカウントが正常に組織を離れた時点で、その AWS アカウント の所有者は、新たに発生するすべての AWS コストと、アカウントに適用される支払い方法についての責任を負います。そのとき以降、組織の管理アカウントが責任を負うことはありません。

削除するアカウントは、組織で有効である AWS サービスの委任管理者アカウントであってはならない

削除するアカウントは、組織の AWS サービスの代理管理者アカウントであってはなりません。アカウントが代理管理者である場合は、まずその代理管理者アカウントを組織に残る別のアカウントに変更する必要があります。AWS サービスの代理管理者アカウントの無効化または変更の方法について詳しくは、当該サービスのドキュメントを参照してください。

アカウントがコストと使用状況データにアクセスできなくなる

メンバーアカウントが組織を離れると、そのアカウントは組織のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。ただし、組織の管理アカウントは引き続きデータにアクセスできます。再度組織に加わった場合、アカウントは再びデータにアクセスできます。

アカウントにアタッチされたタグは削除される

メンバーアカウントが組織を離れると、そのアカウントにアタッチされていたタグはすべて削除されます。

アカウントのプリンシパルは組織のポリシーの影響を受けなくなる

アカウントのプリンシパルは組織で適用されていたポリシーの影響を受けなくなります。つまり、SCP によって課せられていた制限がなくなり、そのアカウントのユーザーとロールに以前より多くのアクセス許可が付与される可能性があります。その他の組織ポリシータイプが適用または処理されることはなくなります。

アカウントは組織契約の対象ではない

メンバーアカウントが組織から削除されると、そのメンバーアカウントは組織契約の対象範囲ではなくなります。管理アカウントの管理者は、メンバーアカウントが必要に応じて新しい契約を用意できるよう、メンバーアカウントを組織から削除する前に、そのことをメンバーアカウントに通達するべきです。有効な組織契約の内容は、AWS Artifact コンソールの [AWS Artifact Organization Agreements] (AWS Artifact 組織契約) ページで確認できます。

他のサービスとの統合が無効になる場合がある

他のサービスとの統合が無効になる場合があります。AWS サービスとの統合が有効になっている組織からアカウントを削除すると、アカウントのユーザーはそのサービスを使用できなくなります。

組織からメンバーアカウントを削除する

組織の管理アカウントにサインインすると、不要になったメンバーアカウントを組織から削除できます。これを行うには、以下の手順を完了します。この手順はメンバーアカウントのみに適用されます。管理アカウントを削除するには、組織を削除する必要があります。

最小アクセス許可

組織から 1 つ以上のメンバーアカウントを削除するには、次の許可がある管理アカウントのユーザーまたはロールとしてサインインする必要があります。

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要

  • organizations:RemoveAccountFromOrganization

ステップ 5 でメンバーアカウントのユーザーまたはロールとしてサインインを選択した場合、そのユーザーまたはロールには次の許可が必要となります。

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要です。

  • organizations:LeaveOrganization - 組織の管理者は、このアクセス許可を削除するポリシーをアカウントに適用し、組織からアカウントを削除することを禁止できます。

  • IAM ユーザーとしてサインインし、アカウントに支払い情報がない場合、そのユーザーには aws-portal:ModifyBilling 許可と aws-portal:ModifyPaymentMethods 許可 (アカウントがきめ細かな許可に移行されていない場合)、または payments:CreatePaymentInstrument 許可と payments:UpdatePaymentPreferences 許可 (アカウントがきめ細かな許可に移行されている場合) のどちらか一方が必要になります。また、メンバーアカウントでは、請求への IAM ユーザーアクセスが有効になっている必要があります。有効になっていない場合は、AWS Billing ユーザーガイドの Billing and Cost Management コンソールへのアクセスを有効にするを参照してください。

AWS Management Console
組織からメンバーアカウントを削除するには
  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. AWS アカウント ページで、組織から削除するメンバーアカウントを探し、その横にあるチェックボックス Blue checkmark icon indicating confirmation or completion of a task. をオンにします。OU の階層を移動するか、[View AWS アカウント only] (AWS アカウント だけを表示する) をオンにして OU 構造のないフラットリストでアカウントを表示します。アカウントが多い場合、削除対象をすべて見つけるにはリスト下部の [Load more accounts in 'ou-name'] ('ou-name' のアカウントをさらに読み込む) を選択する必要がある場合があります。

    AWS アカウント ページで、組織から削除するメンバーアカウントの名前を探し、選択します。場合によっては、目的のアカウントを見つけるには OU を展開 ( Gray cloud icon representing cloud computing or storage services. を選択) する必要があります。

  3. [Actions] (アクション) を選択し、[AWS アカウント] で [Remove from organization] (組織から削除する) を選択します。

  4. [Remove account 'account-name' (#account-id-num) from organization?] (アカウント 'account-name' (#account-id-num) を組織から削除しますか?) ダイアログボックスで、[Remove account] (アカウントを削除する) を選択します。

  5. AWS Organizations が 1 つ以上のアカウントを削除できなかった場合、その原因は、通常、アカウントがスタンドアロンで動作するのに必要な情報の一部が指定されていないためです。以下のステップを実行します。

    1. 失敗したアカウントにサインインします。メンバーアカウントには、[Copy link] を選択してから、新しい incognito ブラウザウィンドウのアドレスバーに貼り付けてサインインすることをお勧めします。[リンクのコピー] が表示されない場合は、「このリンク」を使用して [AWS にサインアップ] ページに移動し、不足している登録ステップを完了します。シークレットウィンドウを使用しない場合は、管理アカウントからサインアウトされ、このダイアログボックスに戻ることができなくなります。

    2. ブラウザを使用すると、このアカウントで実行していなかったステップを完了するためのサインアッププロセスが直接表示されます。示されたすべてのステップを実行します。これには次のものが含まれます。

      • 連絡先情報を指定する

      • 有効な支払い方法の指定

      • 電話番号を検証する

      • サポートプランオプションを選択する

    3. 最後のサインアップステップを完了すると、AWS によりブラウザがメンバーアカウントの AWS Organizations コンソールに自動的にリダイレクトされます。[Leave organization] を選択し、確認ダイアログボックスで、その選択を確認します。AWS Organizations コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。

    4. アカウントへのアクセスを付与する IAM ロールを組織から削除します。

      重要

      組織で作成されたアカウントの場合、組織の管理アカウントによるアクセスを有効にするための IAM ロールが、Organizations によってアカウントに自動的に作成されています。招待されたアカウントの場合、Organizations によってこのようなロールが自動で作成されることはありませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、この IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、IAM ユーザーガイドのロールまたはインスタンスプロファイルの削除を参照してください。

AWS CLI & AWS SDKs
組織からメンバーアカウントを削除するには

メンバーアカウントを作成するには、次のいずれかのコマンドを使用します。

メンバーアカウントが組織から削除されたら、アカウントへのアクセスを付与する IAM ロールを組織から削除します。

重要

組織で作成されたアカウントの場合、組織の管理アカウントによるアクセスを有効にするための IAM ロールが、Organizations によってアカウントに自動的に作成されています。招待されたアカウントの場合、Organizations によってこのようなロールが自動で作成されることはありませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、この IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、IAM ユーザーガイドのロールまたはインスタンスプロファイルの削除を参照してください。

メンバーアカウントは、代わりに Leave-Organization を使用して自身のアカウントを削除することができます。詳細については、「AWS Organizations でメンバーアカウントから組織を退会する」を参照してください。