AWS Organizations で組織からメンバーアカウントを削除する
メンバーアカウントを削除してもアカウントは閉鎖されません。そのメンバーアカウントは組織から削除されます。それまでのメンバーアカウントは AWS Organizations の管理対象から外れ、スタンドアロンの AWS アカウント になります。
その後、そのアカウントにはポリシーが適用されなくなり、請求書の支払いはそのアカウントの責任となります。アカウントが組織から削除された後は、そのアカウントで発生した費用については、組織の管理アカウントには請求されなくなります。
考慮事項
管理アカウントによって作成された IAM アクセスロールは自動的に削除されません
メンバーアカウントを組織から削除しても、組織の管理アカウントによるアクセスを有効にするために作成された IAM ロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、その IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、IAM ユーザーガイドのロールまたはインスタンスプロファイルの削除を参照してください。
アカウントがスタンドアロンアカウントとして動作するために必要な情報を持っている場合に限り、組織からアカウントを削除できる
アカウントがスタンドアロンアカウントとして動作するために必要な情報を持っている場合に限り、組織からアカウントを削除できます。AWS Organizations コンソール、API、AWS CLI コマンドを使用して組織内にアカウントを作成しても、スタンドアロンアカウントの必須情報がすべて自動的に収集されるわけではありません。
スタンドアロンとして使用する各アカウントについて、サポートプランを選択し、必須の連絡先情報を入力および検証して、現在の支払い方法を入力する必要があります。この支払い方法は、アカウントが組織に関連付けられていない間に発生する課金対象 (AWS 無料利用枠外) の AWS アクティビティに対して課金するために AWS によって使用されます。この情報がないアカウントを削除するには、「AWS Organizations でメンバーアカウントから組織を退会する」の手順に従ってください。
アカウントが作成されてから少なくとも 7 日間待つ必要がある
組織内に作成したアカウントを削除するには、アカウントが作成されてから 7 日以上が経過している必要があります。招待されたアカウントの場合には、7 日間待つ必要はありません。
退出するアカウントの所有者が、発生したすべての新しいコストを負担する
アカウントが正常に組織を離れた時点で、その AWS アカウント の所有者は、新たに発生するすべての AWS コストと、アカウントに適用される支払い方法についての責任を負います。そのとき以降、組織の管理アカウントが責任を負うことはありません。
削除するアカウントは、組織で有効である AWS サービスの委任管理者アカウントであってはならない
削除するアカウントは、組織の AWS サービスの代理管理者アカウントであってはなりません。アカウントが代理管理者である場合は、まずその代理管理者アカウントを組織に残る別のアカウントに変更する必要があります。AWS サービスの代理管理者アカウントの無効化または変更の方法について詳しくは、当該サービスのドキュメントを参照してください。
アカウントがコストと使用状況データにアクセスできなくなる
メンバーアカウントが組織を離れると、そのアカウントは組織のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。ただし、組織の管理アカウントは引き続きデータにアクセスできます。再度組織に加わった場合、アカウントは再びデータにアクセスできます。
アカウントにアタッチされたタグは削除される
メンバーアカウントが組織を離れると、そのアカウントにアタッチされていたタグはすべて削除されます。
アカウントのプリンシパルは組織のポリシーの影響を受けなくなる
アカウントのプリンシパルは組織で適用されていたポリシーの影響を受けなくなります。つまり、SCP によって課せられていた制限がなくなり、そのアカウントのユーザーとロールに以前より多くのアクセス許可が付与される可能性があります。その他の組織ポリシータイプが適用または処理されることはなくなります。
アカウントは組織契約の対象ではない
メンバーアカウントが組織から削除されると、そのメンバーアカウントは組織契約の対象範囲ではなくなります。管理アカウントの管理者は、メンバーアカウントが必要に応じて新しい契約を用意できるよう、メンバーアカウントを組織から削除する前に、そのことをメンバーアカウントに通達するべきです。有効な組織契約の内容は、AWS Artifact コンソールの [AWS Artifact Organization Agreements
他のサービスとの統合が無効になる場合がある
他のサービスとの統合が無効になる場合があります。AWS サービスとの統合が有効になっている組織からアカウントを削除すると、アカウントのユーザーはそのサービスを使用できなくなります。
組織からメンバーアカウントを削除する
組織の管理アカウントにサインインすると、不要になったメンバーアカウントを組織から削除できます。これを行うには、以下の手順を完了します。この手順はメンバーアカウントのみに適用されます。管理アカウントを削除するには、組織を削除する必要があります。
最小アクセス許可
組織から 1 つ以上のメンバーアカウントを削除するには、次の許可がある管理アカウントのユーザーまたはロールとしてサインインする必要があります。
-
organizations:DescribeOrganization
- Organizations コンソールを使用する場合にのみ必要 -
organizations:RemoveAccountFromOrganization
ステップ 5 でメンバーアカウントのユーザーまたはロールとしてサインインを選択した場合、そのユーザーまたはロールには次の許可が必要となります。
-
organizations:DescribeOrganization
- Organizations コンソールを使用する場合にのみ必要です。 -
organizations:LeaveOrganization
- 組織の管理者は、このアクセス許可を削除するポリシーをアカウントに適用し、組織からアカウントを削除することを禁止できます。 -
IAM ユーザーとしてサインインし、アカウントに支払い情報がない場合、そのユーザーには
aws-portal:ModifyBilling
許可とaws-portal:ModifyPaymentMethods
許可 (アカウントがきめ細かな許可に移行されていない場合)、またはpayments:CreatePaymentInstrument
許可とpayments:UpdatePaymentPreferences
許可 (アカウントがきめ細かな許可に移行されている場合) のどちらか一方が必要になります。また、メンバーアカウントでは、請求への IAM ユーザーアクセスが有効になっている必要があります。有効になっていない場合は、AWS Billing ユーザーガイドの Billing and Cost Management コンソールへのアクセスを有効にするを参照してください。