AWS Organizations를 사용하여 조직에서 멤버 계정 제거 - AWS Organizations

AWS Organizations를 사용하여 조직에서 멤버 계정 제거

구성원 계정을 제거하면 해당 계정이 해지되는 것이 아니라 조직에서 해당 구성원 계정이 제거됩니다. 이전 멤버 계정은 더 이상 AWS Organizations에서 관리하지 않는 독립형 AWS 계정 계정이 됩니다.

이후, 해당 계정에는 더 이상 정책이 적용되지 않으며 자체 청구서 결제에 대한 책임이 있습니다. 계정이 조직에서 제거된 후, 조직의 관리 계정은 해당 계정에서 발생한 비용에 대해 더 이상 청구되지 않습니다.

고려 사항

관리 계정에서 생성한 IAM 액세스 역할은 자동으로 삭제되지 않음

조직에서 멤버 계정을 제거해도 조직의 관리 계정으로 액세스할 수 있도록 생성된 IAM 역할은 자동으로 삭제되지 않습니다. 이전 조직의 관리 계정에서 이 액세스를 종료하려면 IAM 역할을 수동으로 삭제해야 합니다. 역할 삭제 방법에 대한 내용은 IAM 사용 설명서역할 또는 인스턴스 프로필 삭제를 참조하세요.

계정에 독립 실행형 계정으로 작동하는 데 필요한 정보가 있는 경우에만 조직에서 계정 제거 가능

계정에 독립형 계정으로 작동하는 데 필요한 정보가 있는 경우에만 조직에서 계정을 제거할 수 있습니다. AWS Organizations 콘솔, API 또는 AWS CLI 명령을 사용하여 조직에 계정을 생성하는 경우 독립형 계정의 모든 필수 정보가 자동으로 수집되지 않습니다.

독립형으로 만들려는 각 계정마다 지원 계획을 선택하고, 필요한 계약 정보를 제공 및 확인하고, 현행 결제 방법을 제공해야 합니다. AWS에서는 이 결제 수단을 사용해 해당 계정이 조직에 연결되어 있지 않을 때 발생하는 모든 청구 가능한 AWS 활동(AWS 프리 티어 이외)에 대해 비용을 청구합니다. 아직 이 정보가 없는 계정을 제거하려면 AWS Organizations를 사용하여 멤버 계정에서 조직 탈퇴의 단계를 따르세요.

계정이 생성된 후 최소 7일이 지날 때까지 대기

조직에서 생성된 계정을 제거하려면 계정을 만든 후 7일 이상 기다려야 합니다. 초대된 계정에는 이 대기 기간이 적용되지 않습니다.

탈퇴하는 계정의 소유자에는 새로 발생하는 모든 비용에 대해 책임 있음

계정이 성공적으로 조직을 떠나는 순간 AWS 계정의 소유자는 발생한 모든 신규 AWS 비용을 책임지게 되며, 해당 계정의 결제 방법이 사용됩니다. 조직의 관리 계정은 더 이상 책임이 없습니다.

계정은 조직에 대해 활성화된 어떠한 AWS 서비스에서도 위임된 관리자 계정일 수 없음

제거하려는 계정은 조직에 대해 활성화된 어떠한 AWS 서비스에서도 위임된 관리자 계정이 아니어야 합니다. 계정이 위임된 관리자인 경우 먼저 위임된 관리자 계정을 조직에 남아 있는 다른 계정으로 변경해야 합니다. AWS 서비스에 대한 위임된 관리자 계정을 비활성화하거나 변경하는 방법에 관한 자세한 내용은 해당 서비스에 대한 설명서를 참조하세요.

계정은 더 이상 비용 및 사용량 데이터에 액세스할 수 없습니다.

멤버 계정이 조직을 탈퇴할 때 해당 계정은 조직의 멤버였을 때의 시간 범위로부터 비용 및 사용량 데이터에 대한 액세스를 할 수 없습니다. 하지만 조직의 관리 계정은 여전히 데이터에 액세스할 수 있습니다. 멤버 계정이 조직에 다시 가입하면 계정은 다시 데이터에 액세스할 수 있습니다.

계정에 연결된 태그 삭제

멤버 계정이 조직을 나가면 계정에 연결된 모든 태그가 삭제됩니다.

계정의 위탁자는 더 이상 조직에 적용된 정책의 영향을 받지 않음

계정의 보안 주체는 더 이상 조직에 적용된 정책의 영향을 받지 않습니다. 즉, SCP에 의해 가해지는 제한이 사라지므로 해당 계정의 사용자와 역할은 이전보다 더 많은 권한을 갖게 될 수 있습니다. 다른 조직 정책 유형은 더 이상 적용하거나 처리할 수 없습니다.

계정은 더 이상 조직 계약의 적용을 받지 않음

조직에서 삭제된 멤버 계정에는 해당 조직 계약이 더 이상 적용되지 않습니다. 필요한 경우 멤버 계정이 새 계약을 체결할 수 있도록 관리 계정 관리자는 조직에서 멤버 계정을 삭제하기 전에 이 사실을 해당 멤버 계정에게 알려줘야 합니다. 현재 유효한 조직 계약의 목록은 AWS Artifact 콘솔의 AWS Artifact 조직 계약 페이지에서 볼 수 있습니다.

다른 서비스와의 통합이 비활성화될 수 있음

다른 서비스와의 통합이 비활성화될 수 있습니다. AWS 서비스와의 통합이 활성화된 조직에서 계정을 제거하면 해당 계정의 사용자는 더 이상 해당 서비스를 사용할 수 없습니다.

조직에서 멤버 계정 제거

조직의 관리 계정에 로그인하면 조직에서 더 이상 필요 없는 멤버 계정을 제거할 수 있습니다. 이렇게 하려면 다음 절차를 완료하세요. 이 절차는 멤버 계정에만 적용됩니다. 관리 계정을 제거하려면 조직을 삭제해야 합니다.

최소 권한

조직에서 하나 이상의 멤버 계정을 제거하려면 다음 권한이 있는 관리 계정의 사용자 또는 역할로 로그인해야 합니다.

  • organizations:DescribeOrganization – Organizations 콘솔을 사용하는 경우에만 필요합니다.

  • organizations:RemoveAccountFromOrganization

5단계에서 멤버 계정의 사용자 또는 역할로 로그인하도록 선택할 경우 해당 사용자 또는 역할은 다음 권한이 있어야 합니다.

  • organizations:DescribeOrganization – Organizations 콘솔을 사용하는 경우에만 필요합니다.

  • organizations:LeaveOrganization – 조직 관리자는 이 권한을 제거한 계정에 정책을 적용하여 조직에서 계정을 제거하지 못하도록 할 수 있습니다.

  • IAM 사용자로 로그인했는데 계정에 결제 정보가 없는 경우 사용자에게 aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods 권한(계정이 아직 세분화된 권한으로 마이그레이션되지 않은 경우) 또는 payments:CreatePaymentInstrumentpayments:UpdatePaymentPreferences 권한(계정이 세분화된 권한으로 마이그레이션된 경우)이 있어야 합니다. 또한 멤버 계정에는 결제에 대한 IAM 사용자 액세스가 활성화되어야 합니다. 아직 활성화되지 않은 경우 AWS Billing 사용 설명서Billing and Cost Management 콘솔에 대한 액세스 활성화를 참조하세요.

AWS Management Console
조직에서 멤버 계정을 제거하려면
  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. AWS 계정 페이지에서, 조직에서 제거할 각 멤버 계정을 찾아서 그 옆에 있는 확인란 Blue checkmark icon indicating confirmation or completion of a task. 을 선택합니다. OU 계층 구조를 탐색하거나, AWS 계정만 보기(View AWS 계정 only)를 활성화하여 OU 구조 없이 단순 계정 목록을 표시할 수 있습니다. 계정이 많은 경우 이동할 모든 항목을 찾기 위해 목록 하단에 있는 ‘ou-name’에서 추가 계정 로드(Load more accounts in 'ou-name')를 선택해야 할 수도 있습니다.

    AWS 계정 페이지에서, 조직에서 제거할 멤버 계정의 이름을 찾아서 선택합니다. 원하는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다( Gray cloud icon representing cloud computing or storage services. 선택).

  3. 작업(Actions)을 선택한 다음 AWS 계정에서 조직에서 제거(Remove from organization)를 선택합니다.

  4. 'account-name'(#account-id-num) 계정을 조직에서 제거하시겠습니까?라는 대화 상자에서 계정 제거(Remove account)를 선택합니다.

  5. AWS Organizations가 하나 이상의 계정 제거에 실패한 경우 일반적으로 계정이 독립형 계정으로 작동하는 데 필요한 모든 정보가 제공되지 않았기 때문입니다. 다음 단계를 수행합니다.

    1. 실패한 계정에 로그인합니다. [Copy link]를 선택하고 이를 새로운 익명 브라우저 창의 주소 표시줄에 붙여넣음으로써 로그인하는 것이 좋습니다. 링크 복사가 보이지 않는 경우 이 링크를 사용하여 AWS 가입 페이지로 이동하여 누락된 등록 단계를 완료합니다. 익명 창을 사용하지 않는 경우, 관리 계정에서 로그아웃되고 이 대화 상자로 다시 돌아갈 수 없습니다.

    2. 브라우저에서 이 계정에서 누락된 모든 단계를 완료할 로그인 절차로 직접 이동합니다. 제시되는 모든 단계를 수행합니다. 이러한 단계에는 다음 작업이 포함되어 있을 수 있습니다.

      • 연락처 정보 제공

      • 올바른 결제 방법 제공

      • 전화 번호 확인

      • 지원 플랜 옵션 선택

    3. 마지막 로그인 단계를 완료한 후 AWS는 자동적으로 멤버 계정의 AWS Organizations 콘솔로 브라우저를 리디렉션합니다. [Leave organization]을 선택한 다음 확인 대화 상자에서 확인을 선택합니다. 다른 조직에 대해 보류 중인 계정 가입 초대를 확인할 수 있는 AWS Organizations 콘솔의 시작하기 페이지로 이동했습니다.

    4. 계정에 대한 액세스 권한을 부여하는 IAM 역할을 조직에서 제거합니다.

      중요

      조직에서 계정이 생성된 경우 Organizations는 조직의 관리 계정에 의한 액세스를 활성화한 IAM 역할을 계정에 자동으로 생성했습니다. 계정이 가입하도록 초대된 경우 Organizations에서 해당 역할을 자동으로 생성하지는 않았지만 사용자 또는 다른 관리자가 동일한 혜택을 받기 위해 계정을 생성했을 수 있습니다. 두 경우 모두 조직에서 계정을 제거할 때 이러한 역할은 자동으로 삭제되지 않습니다. 이전 조직의 관리 계정에서 이 액세스를 종료하려면 이 IAM 역할을 수동으로 삭제해야 합니다. 역할 삭제 방법에 대한 내용은 IAM 사용 설명서역할 또는 인스턴스 프로필 삭제를 참조하세요.

AWS CLI & AWS SDKs
조직에서 멤버 계정을 제거하려면

다음 명령 중 하나를 사용하여 멤버 계정을 삭제할 수 있습니다.

조직에서 멤버 계정이 제거된 후에는 조직에서 계정에 대한 액세스 권한을 부여하는 IAM 역할을 제거해야 합니다.

중요

조직에서 계정이 생성된 경우 Organizations는 조직의 관리 계정에 의한 액세스를 활성화한 IAM 역할을 계정에 자동으로 생성했습니다. 계정이 가입하도록 초대된 경우 Organizations에서 해당 역할을 자동으로 생성하지는 않았지만 사용자 또는 다른 관리자가 동일한 혜택을 받기 위해 계정을 생성했을 수 있습니다. 두 경우 모두 조직에서 계정을 제거할 때 이러한 역할은 자동으로 삭제되지 않습니다. 이전 조직의 관리 계정에서 이 액세스를 종료하려면 이 IAM 역할을 수동으로 삭제해야 합니다. 역할 삭제 방법에 대한 내용은 IAM 사용 설명서역할 또는 인스턴스 프로필 삭제를 참조하세요.

멤버 계정은 대신 조직 탈퇴를 통해 스스로 제거할 수 있습니다. 자세한 내용은 AWS Organizations를 사용하여 멤버 계정에서 조직 탈퇴 단원을 참조하십시오.