AWS Organizations를 사용하여 조직에서 멤버 계정 제거
구성원 계정을 제거하면 해당 계정이 해지되는 것이 아니라 조직에서 해당 구성원 계정이 제거됩니다. 이전 멤버 계정은 더 이상 AWS Organizations에서 관리하지 않는 독립형 AWS 계정 계정이 됩니다.
이후, 해당 계정에는 더 이상 정책이 적용되지 않으며 자체 청구서 결제에 대한 책임이 있습니다. 계정이 조직에서 제거된 후, 조직의 관리 계정은 해당 계정에서 발생한 비용에 대해 더 이상 청구되지 않습니다.
고려 사항
관리 계정에서 생성한 IAM 액세스 역할은 자동으로 삭제되지 않음
조직에서 멤버 계정을 제거해도 조직의 관리 계정으로 액세스할 수 있도록 생성된 IAM 역할은 자동으로 삭제되지 않습니다. 이전 조직의 관리 계정에서 이 액세스를 종료하려면 IAM 역할을 수동으로 삭제해야 합니다. 역할 삭제 방법에 대한 내용은 IAM 사용 설명서의 역할 또는 인스턴스 프로필 삭제를 참조하세요.
계정에 독립 실행형 계정으로 작동하는 데 필요한 정보가 있는 경우에만 조직에서 계정 제거 가능
계정에 독립형 계정으로 작동하는 데 필요한 정보가 있는 경우에만 조직에서 계정을 제거할 수 있습니다. AWS Organizations 콘솔, API 또는 AWS CLI 명령을 사용하여 조직에 계정을 생성하는 경우 독립형 계정의 모든 필수 정보가 자동으로 수집되지 않습니다.
독립형으로 만들려는 각 계정마다 지원 계획을 선택하고, 필요한 계약 정보를 제공 및 확인하고, 현행 결제 방법을 제공해야 합니다. AWS에서는 이 결제 수단을 사용해 해당 계정이 조직에 연결되어 있지 않을 때 발생하는 모든 청구 가능한 AWS 활동(AWS 프리 티어 이외)에 대해 비용을 청구합니다. 아직 이 정보가 없는 계정을 제거하려면 AWS Organizations를 사용하여 멤버 계정에서 조직 탈퇴의 단계를 따르세요.
계정이 생성된 후 최소 7일이 지날 때까지 대기
조직에서 생성된 계정을 제거하려면 계정을 만든 후 7일 이상 기다려야 합니다. 초대된 계정에는 이 대기 기간이 적용되지 않습니다.
탈퇴하는 계정의 소유자에는 새로 발생하는 모든 비용에 대해 책임 있음
계정이 성공적으로 조직을 떠나는 순간 AWS 계정의 소유자는 발생한 모든 신규 AWS 비용을 책임지게 되며, 해당 계정의 결제 방법이 사용됩니다. 조직의 관리 계정은 더 이상 책임이 없습니다.
계정은 조직에 대해 활성화된 어떠한 AWS 서비스에서도 위임된 관리자 계정일 수 없음
제거하려는 계정은 조직에 대해 활성화된 어떠한 AWS 서비스에서도 위임된 관리자 계정이 아니어야 합니다. 계정이 위임된 관리자인 경우 먼저 위임된 관리자 계정을 조직에 남아 있는 다른 계정으로 변경해야 합니다. AWS 서비스에 대한 위임된 관리자 계정을 비활성화하거나 변경하는 방법에 관한 자세한 내용은 해당 서비스에 대한 설명서를 참조하세요.
계정은 더 이상 비용 및 사용량 데이터에 액세스할 수 없습니다.
멤버 계정이 조직을 탈퇴할 때 해당 계정은 조직의 멤버였을 때의 시간 범위로부터 비용 및 사용량 데이터에 대한 액세스를 할 수 없습니다. 하지만 조직의 관리 계정은 여전히 데이터에 액세스할 수 있습니다. 멤버 계정이 조직에 다시 가입하면 계정은 다시 데이터에 액세스할 수 있습니다.
계정에 연결된 태그 삭제
멤버 계정이 조직을 나가면 계정에 연결된 모든 태그가 삭제됩니다.
계정의 위탁자는 더 이상 조직에 적용된 정책의 영향을 받지 않음
계정의 보안 주체는 더 이상 조직에 적용된 정책의 영향을 받지 않습니다. 즉, SCP에 의해 가해지는 제한이 사라지므로 해당 계정의 사용자와 역할은 이전보다 더 많은 권한을 갖게 될 수 있습니다. 다른 조직 정책 유형은 더 이상 적용하거나 처리할 수 없습니다.
계정은 더 이상 조직 계약의 적용을 받지 않음
조직에서 삭제된 멤버 계정에는 해당 조직 계약이 더 이상 적용되지 않습니다. 필요한 경우 멤버 계정이 새 계약을 체결할 수 있도록 관리 계정 관리자는 조직에서 멤버 계정을 삭제하기 전에 이 사실을 해당 멤버 계정에게 알려줘야 합니다. 현재 유효한 조직 계약의 목록은 AWS Artifact 콘솔의 AWS Artifact 조직 계약
다른 서비스와의 통합이 비활성화될 수 있음
다른 서비스와의 통합이 비활성화될 수 있습니다. AWS 서비스와의 통합이 활성화된 조직에서 계정을 제거하면 해당 계정의 사용자는 더 이상 해당 서비스를 사용할 수 없습니다.
조직에서 멤버 계정 제거
조직의 관리 계정에 로그인하면 조직에서 더 이상 필요 없는 멤버 계정을 제거할 수 있습니다. 이렇게 하려면 다음 절차를 완료하세요. 이 절차는 멤버 계정에만 적용됩니다. 관리 계정을 제거하려면 조직을 삭제해야 합니다.
최소 권한
조직에서 하나 이상의 멤버 계정을 제거하려면 다음 권한이 있는 관리 계정의 사용자 또는 역할로 로그인해야 합니다.
-
organizations:DescribeOrganization
– Organizations 콘솔을 사용하는 경우에만 필요합니다. -
organizations:RemoveAccountFromOrganization
5단계에서 멤버 계정의 사용자 또는 역할로 로그인하도록 선택할 경우 해당 사용자 또는 역할은 다음 권한이 있어야 합니다.
-
organizations:DescribeOrganization
– Organizations 콘솔을 사용하는 경우에만 필요합니다. -
organizations:LeaveOrganization
– 조직 관리자는 이 권한을 제거한 계정에 정책을 적용하여 조직에서 계정을 제거하지 못하도록 할 수 있습니다. -
IAM 사용자로 로그인했는데 계정에 결제 정보가 없는 경우 사용자에게
aws-portal:ModifyBilling
및aws-portal:ModifyPaymentMethods
권한(계정이 아직 세분화된 권한으로 마이그레이션되지 않은 경우) 또는payments:CreatePaymentInstrument
및payments:UpdatePaymentPreferences
권한(계정이 세분화된 권한으로 마이그레이션된 경우)이 있어야 합니다. 또한 멤버 계정에는 결제에 대한 IAM 사용자 액세스가 활성화되어야 합니다. 아직 활성화되지 않은 경우 AWS Billing 사용 설명서의 Billing and Cost Management 콘솔에 대한 액세스 활성화를 참조하세요.