Como migrar uma conta para outra organização com o AWS Organizations - AWS Organizations
Pré-migraçãoMigraçãoPós-migração

Como migrar uma conta para outra organização com o AWS Organizations

Você pode migrar uma Conta da AWS de outra organização para outra a qualquer momento. Por exemplo, migrar uma conta pode ser útil no caso de uma fusão e aquisição, quando você precisa consolidar uma ou mais Contas da AWS de várias organizações em uma organização.

Seja qual for o seu caso de uso, a migração de uma conta entre organizações exige que você remova a conta da organização antiga, transforme-a em uma conta independente e que a conta aceite o convite da nova organização para ingressar na nova organização. Suas workloads e serviços continuarão operando de acordo com suas especificações durante a migração. No entanto, é importante estar ciente de quaisquer dependências que você possa usar em sua organização.

nota

Contas encerradas ou suspensas não podem ser migradas

Contas encerradas ou suspensas não podem ser migradas. Para reativar uma conta, entre em contato com o AWS Support.

Requisito de espera de sete dias

Para migrar uma conta que você criou na organização, deve aguardar pelo menos sete dias após a criação da conta. As contas convidadas não estão sujeitas a esse período de espera.

Replicação de dados entre contas

As seguintes Recomendações da AWS fornecem informações sobre estratégias para replicar dados entre as Contas da AWS: Replicação ou migração de recursos entre as Contas da AWS.

O que você precisa fazer antes de migrar uma conta

Antes de migrar sua Conta da AWS de uma organização para outra, verifique se você concluiu as etapas a seguir.

Etapa 1: verificar se você tem as permissões necessárias do IAM para migrar uma conta

Verifique se você aplicou as permissões necessárias para migrar uma conta para as respectivas organizações.

Para sair de uma organização, você deve ter as seguintes permissões:

  • organizations:DescribeOrganization (somente console)

  • organizations:LeaveOrganization

Para obter mais informações, consulte Sair de uma organização com sua conta-membro.

Para convidar uma Conta da AWS para participar de uma organização, você deve ter as seguintes permissões:

  • organizations:DescribeOrganization (somente console)

  • organizations:InviteAccountToOrganization

Para obter mais informações, consulte Convidar uma Conta da AWS para participar de sua organização.

Para migrar uma conta, você não pode ter políticas de IAM ou políticas de controle de serviços que impeçam a migração

Se você for um administrador delegado ou da conta de gerenciamento, pode controlar o acesso a recursos da AWS, anexando as políticas de permissões para as identidades do IAM (usuários, grupos e funções) dentro da organização. Para obter mais informações, consulte as Políticas do IAM para o AWS Organizations.

Antes de migrar uma conta:

  • Verifique se não há políticas do IAM ou políticas de controle de serviço (SCPs) que impeçam a migração da conta.

  • Identifique as políticas do IAM existentes e as políticas de controle de serviço (SCPs) que você precisa replicar na organização para a qual você está migrando a conta.

  • Identifique as políticas do IAM existentes que especificam o ID da sua organização. Por exemplo, aws:PrincipalOrgID.

Para obter mais informações, consulte Gerenciamento de políticas do IAM no Guia do usuário do IAM e na Política de controle de serviços (SCPs).

Etapa 2: verificar se você removeu as permissões do IAM que permitem o acesso à conta de gerenciamento antiga

Verifique se você removeu as permissões do IAM que permitem o acesso à conta de gerenciamento antiga, como a OrganizationAccountAccessRole.

Quando você remove uma conta-membro da organização, nenhum perfil do IAM criado para permitir o acesso pela conta de gerenciamento da organização é excluído automaticamente. Se você deseja terminar esse acesso a partir da conta de gerenciamento da antiga organização, exclua manualmente o perfil do IAM.

Para obter mais informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Guia do usuário do IAM.

Etapa 3: conferir o método de verificação do telefone e pagamento

A conta a ser migrada deve operar como uma conta independente por um período antes de migrar para a nova organização.

Para permitir que uma conta opere como uma conta independente, verifique o seguinte:

  • Confirme se a verificação do telefone está atualizada.

  • Confirme se foi adicionada uma forma de pagamento válida para a conta para lidar com quaisquer cobranças incorridas durante a migração da conta.

  • Se você usar o faturamento como forma de pagamento, confirme se a fatura está atualizada.

Etapa 4: fazer backup de todos os relatórios

Não se esqueça de exportar ou fazer backup dos relatórios da conta de gerenciamento, especialmente dos relatórios de faturamento. Relatórios e históricos de nível organizacional não são armazenados quando você migra uma conta. Você ainda pode acessar os relatórios somente da conta-membro, como histórico de eventos do AWS CloudTrail e histórico de faturamento da conta.

Importante

Todos os relatórios e históricos de nível organizacional, como informações de faturamento organizacional na conta de gerenciamento, serão excluídos depois que uma conta for removida de uma organização.

Para obter mais informações, consulte os Relatórios de uso e de custo, os Relatórios do Cost Explorer, os Relatórios dos Savings Plans e a Utilização e cobertura da Instância reservada (IR).

Etapa 5: verificar se há dependências da organização

Confirme se a conta a ser migrada não tem dependências relacionadas à organização.

Dependências a serem verificadas:

  • Se a conta for um administrador delegado, será necessário cancelar o registro das permissões do administrador delegado antes de migrar a conta. Para obter mais informações, consulte Serviços que você pode usar com o AWS Organizations.

  • Se a conta for a conta de gerenciamento, será necessário remover todas as contas-membro da organização e excluir a organização antes de migrar. Depois de excluir a organização, sua conta de gerenciamento funcionará como uma conta independente. Após a migração, a conta de gerenciamento será uma conta-membro da nova organização. Para obter mais informações, consulte Excluir uma organização.

  • Se quaisquer permissões do IAM dependerem da conta, será necessário ajustar as permissões da organização antiga depois de migrar a conta para a nova organização, para que a organização antiga funcione como antes. Para obter mais informações, consulte Gerenciar permissões de acesso para a organização.

  • Se você estiver usando qualquer tag de conta ou unidade organizacional (OU), precisará recriar as tags na nova organização.

(Opcional) Etapa 6: revisar as diretrizes se você usar o AWS Control Tower

Se você estiver migrando uma conta de ou para uma organização gerenciada pelo AWS Control Tower, revise as seguintes Recomendações da AWS: Migrar uma conta-membro da AWS do AWS Organizations para o AWS Control Tower.

O que você precisa fazer para migrar uma conta

O processo de migração exige que a nova organização envie um convite para a conta a ser migrada, para que a organização antiga remova a conta de migração e a conta a ser migrada aceite o convite da nova organização para ingressar na nova organização.

Para migrar uma conta

  1. Envie um convite da conta de gerenciamento da nova organização para a conta a ser migrada. Você deve enviar o convite para a conta antes que ela saia da organização antiga. Isso ajuda a minimizar os custos incorridos quando a conta a ser migrada opera temporariamente como uma conta independente. Para obter mais informações sobre convidar contas, consulte Como convidar uma Conta da AWS a ingressar na sua organização.

  2. Remova a conta a ser migrada da organização antiga. Você pode remover uma conta-membro da sua organização usando a conta de gerenciamento ou sair de uma organização como conta-membro.

  3. Aceite o convite para se juntar à nova organização. Para obter mais informações, consulte Accepting an invitation from an organization. As contas migradas de uma outra organização para outra serão automaticamente adicionadas à raiz da nova organização. Antes de mover uma conta para uma unidade organizacional (OU) na nova organização, é recomendável verificar se a conta a ser migrada tem as políticas organizacionais e as permissões de OU apropriadas.

  4. Se quiser migrar a conta de gerenciamento, deverá remover todas as contas-membro da organização e excluir a organização antes de migrar a conta de gerenciamento para a nova organização. Depois de excluir a organização antiga, sua conta de gerenciamento operará como uma conta independente e poderá aceitar o convite da nova organização para ingressar na nova organização. Se você aceitar um convite, sua conta de gerenciamento se tornará uma conta-membro da organização.

O que você precisa fazer depois de migrar uma conta

Depois de migrar sua conta de uma organização para outra, confirme se as etapas a seguir foram concluídas.

Revisão pós-migração

  1. Avalie todas as configurações da ferramenta de cobrança da conta migrada, como categorias de custo, orçamentos e alarmes de cobrança.

  2. Revise e atualize as seguintes informações monetárias de todas as contas que você migrou de uma organização para outra:

    1. Se necessário, atualize as configurações fiscais na conta.

    2. Confirme se o plano do AWS Support de migração da conta corresponda à conta do pagador da nova organização.

    3. Analise todas as possíveis isenções fiscais que você queira aplicar à conta que você migrou.

  3. Valide e confirme as políticas do IAM existentes e as políticas de controle de serviço (SCPs) da conta migrada. Por exemplo, talvez seja necessário atualizar o ID da organização para que algumas políticas do IAM reflitam a nova organização.

  4. Atualize as tags de alocação de custos para a nova organização para a qual você migrou a conta. Você precisará atualizar todas as tags de alocação de custos anteriores coletadas pela conta que você migrou.

  5. Todas as Instâncias reservadas e Saving Plans migrarão junto com a conta. Elas não são mantidas na organização antiga. Entre em contato o AWS Support se for necessário transferi-los para a organização antiga.