使用 AWS Organizations 将账户迁移到其他组织 - AWS Organizations
迁移前迁移迁移后

使用 AWS Organizations 将账户迁移到其他组织

您可以随时将 AWS 账户从一个组织迁移到另一个组织。例如,在进行并购时,您需要将多个组织中的一个或多个 AWS 账户合并到一个组织,迁移账户可能会非常实用。

无论是哪种应用场景,在组织之间迁移账户都需要您从旧组织中移除账户,使该账户成为独立账户,并且该账户必须接受新组织的邀请以加入新组织。在迁移过程中,工作负载和服务将继续按照您的规范运行。但要注意组织中可能存在的任何依赖项,这一点十分重要。

注意

无法迁移已注销或暂停的账户

您无法迁移已注销或暂停的账户。要重新激活账户,请联系 AWS Support

七天龄期要求

在组织中创建账户后,必须至少要满七天才能迁移该账户。邀请的账户不受此等待期限的限制。

在账户之间复制数据

以下 AWS 规范性指导介绍了有关在 AWS 账户之间复制数据的策略:Resource replication or migration between AWS 账户

迁移账户之前需要完成的操作

在将 AWS 账户 从一个组织迁移到另一个组织之前,请确保您已完成以下步骤。

步骤 1:检查您是否具有迁移账户所需的 IAM 权限

确保您已应用了将账户迁移到相关组织所需的权限。

要退出组织,您必须拥有以下权限:

  • organizations:DescribeOrganization (仅限控制台)

  • organizations:LeaveOrganization

有关更多信息,请参阅从成员账户退出组织

要邀请 AWS 账户 加入组织,您必须拥有以下权限:

  • organizations:DescribeOrganization (仅限控制台)

  • organizations:InviteAccountToOrganization

有关更多信息,请参阅邀请 AWS 账户加入组织

要迁移账户,不能存在会阻止迁移的 IAM 策略或服务控制策略

如果您是管理账户或委派管理员,则可以通过将权限策略附加到组织中的 IAM 身份(用户、组和角色)来控制对 AWS 资源的访问权。有关更多信息,请参阅适用于 AWS Organizations 的 IAM 策略

迁移账户之前的准备:

  • 确认没有会阻止您迁移账户的 IAM 策略或服务控制策略(SCP)。

  • 确定在您要迁移账户的组织中进行复制所需的现有 IAM 策略和服务控制策略(SCP)。

  • 确定会指定您的组织 ID 的现有 IAM 策略。例如,aws:PrincipalOrgID

有关更多信息,请参阅《IAM 用户指南》中的管理 IAM 策略服务控制策略(SCP)

步骤 2:检查您是否已移除了会允许访问旧管理账户的 IAM 权限

确保您已移除了会允许访问旧管理账户的 IAM 权限,例如 OrganizationAccountAccessRole

当您从组织中移除成员账户时,为允许该组织的管理账户访问而创建的任何 IAM 角色都不会自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除 IAM 角色。

有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

步骤 3:检查手机验证和付款方式

要迁移的账户必须作为独立账户运行一段时间后才能迁移到新组织。

要允许账户作为独立账户运行,请检查以下项目:

  • 确保您的电话验证已更新。

  • 确保为账户添加了有效的付款方式,以用于支付账户迁移期间产生的任何费用。

  • 如果您使用发票作为付款方式,请确保发票是最新发票。

步骤 4:备份所有报告

请务必从管理账户导出或备份报告,尤其是账单报告。迁移账户时不会存储组织级别的报告和历史记录。您仍然只能访问成员账户的报告,例如 AWS CloudTrail 事件历史记录和账号账单历史记录。

重要

将账户从组织中移除后,所有组织级别的报告和历史记录(例如管理账户中的组织账单信息)都将被删除。

有关更多信息,请参阅成本和使用情况报告Cost Explorer 报告节省计划报告以及预留实例(RI)利用率和覆盖范围

步骤 5:检查组织依赖项

确保要迁移的账户不存在任何与组织相关的依赖项。

要检查的依赖项:

  • 如果该账户是委派管理员,则必须先将委派管理员权限取消注册,然后才能迁移账户。有关更多信息,请参阅可与 AWS Organizations 一起使用的服务

  • 如果该账户是管理账户,则迁移前必须从组织中移除所有成员账户并删除组织。删除组织后,您的管理账户将作为独立账户运行。迁移后,管理账户将成为新组织的成员账户。有关更多信息,请参阅删除组织

  • 如果有任何 IAM 权限依赖该账户,则在将账户迁移到新组织后,您需要调整旧组织的权限,以便旧组织能够像以前一样运行。有关更多信息,请参阅管理组织的访问权限

  • 如果您使用任何账户或组织单位(OU)标签,则需要在新组织中重新创建这些标签。

(可选)步骤 6:如果您使用 AWS Control Tower,请参阅指南

要将账户迁入或迁出由 AWS Control Tower 管理的组织,请参阅以下 AWS 规范性指导:Migrate an AWS member account from AWS Organizations to AWS Control Tower

迁移账户时需要完成的操作

迁移过程需要新组织向迁移账户发送邀请,旧组织需要移除要迁移的账户,并且要迁移的账户需要接受新组织发出的加入新组织的邀请。

迁移账户

  1. 从新组织的管理账户向要迁移的账户发送邀请。您应在该账户退出旧组织之前向其发送邀请。这有助于尽可能降低要迁移的账户临时作为独立账户运行时产生的成本。有关邀请账户的更多信息,请参阅邀请 AWS 账户加入组织

  2. 从旧组织中移除要迁移的账户。您可以使用管理账户将成员账户从组织中移除,也可以成员账户身份退出组织

  3. 接受加入新组织的邀请。有关更多信息,请参阅接受来自组织的邀请。从一个组织迁移到另一个组织的账户将自动添加到新组织的根目录中。在将账户移至新组织中的组织单位 (OU) 之前,建议您检查要迁移的账户是否具有相应的组织策略和 OU 权限。

  4. 要迁移管理账户,必须首先从组织中移除所有成员账户删除组织,然后才能将管理账户迁移到新组织。删除旧组织后,您的管理账户将作为独立账户运行,并且可以接受新组织发出的加入新组织的邀请。如果您接受邀请,该管理账户将成为新组织的成员账户。

迁移账户之后需要完成的操作

在将账户从一个组织迁移到另一个组织之后,务必要完成以下步骤。

迁移后检查

  1. 评估迁移后账户的所有账单工具配置,例如成本类别、预算和账单警报等。

  2. 对于您从一个组织迁移到另一个组织的所有账户,检查并更新以下货币信息:

    1. 必要时更新账户的税务设置

    2. 确保要迁移的账户的 AWS Support 计划与新组织的付款人账户相匹配。

    3. 检查您可能想应用到迁移后账户的任何可能免税待遇

  3. 验证并确认迁移后账户的现有 IAM 策略和服务控制策略(SCP)。例如,您可能需要更新某些 IAM 策略的组织 ID 以反映新组织。

  4. 更新您迁移了账户的新组织的成本分配标签。您需要更新您迁移的账户之前收集的所有成本分配标签。

  5. 任何预留实例节省计划都将随账户一起迁移,而不会保留在旧组织中。AWS Support如果需要将这些转移到旧组织,请联系 。