使用成员账户退出组织 AWS Organizations - AWS Organizations
注意事项作为成员账户退出组织

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用成员账户退出组织 AWS Organizations

登录成员账户后,您可以退出组织。管理账户不能使用此方法离开组织。要移除管理账户,您必须删除组织

注意事项

组织的账户状态会影响可见的成本和使用情况数据

如果某个成员账户离开组织并且成为独立账户,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。该账户只能访问作为独立账户生成的数据。

如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成员时的时间范围内的成本和使用率数据。该账户只能访问作为组织 B 的成员生成的数据。

如果某个账户重新加入其以前所属的组织,该账户将重新获得对其成本和使用情况历史数据的访问权限。

该账户不再属于代表其接受的组织协议的管辖范围

如果您离开一个组织,您将不再被该组织的管理账户代表您接受的组织协议所涵盖。您可以在 AWS Artifact 控制台的 “组织协议” 页面上查看这些AWS Artifact 组织协议的列表。在离开组织之前,您应该在您的法律、隐私或合规性团队的协助下确定您是否有必要建立新的协议。

作为成员账户退出组织

要退出组织,请完成以下过程。

最小权限

要退出组织,您必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要。

  • organizations:LeaveOrganization – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以IAM用户身份登录但账户缺少付款信息,则该用户必须拥有aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods权限(如果账户尚未迁移到细粒度权限)或payments:CreatePaymentInstrumentpayments:UpdatePaymentPreferences权限(如果账户已迁移到细粒度权限)。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅《AWS Billing 用户指南》中的激活对账单和成本管理控制台的访问权

AWS Management Console
成员账户离开组织

  1. 在 AWS Organizations 主机上登录主AWS Organizations 机。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在成员账户中登录。

    默认情况下,您无权访问使用创建的成员账户中的 root 用户密码 AWS Organizations。如果需要,请按照中使用 root 用户(不建议用于日常任务)中的步骤恢复 root 用户密码使用访问组织中的成员账户 AWS Organizations

  2. Organizations 控制面板页面上,选择退出组织

  3. 是否要退出组织?对话框中,选择退出组织。当系统提示进行确认时,确认您选择删除账户。确认后,您将被重定向到 AWS Organizations 控制台的 “入门” 页面,您可以在其中查看您的账户加入其他组织的所有待处理邀请。

    如果显示当前无法退出组织消息,则表示您的账户尚不具备作为独立账户运行所需的所有信息。如果是这样,请继续下一步。

  4. 如果是否要退出组织?对话框显示当前无法退出组织消息,选择完成账户注册步骤链接。

    如果您没有看到完成账户注册步骤链接,请使用此链接进入注册 AWS 页面,完成缺少的注册步骤。

  5. 注册 AWS 页面上,输入成为独立账户所需的所有信息。可能涉及以下类型的信息:

    • 联系人姓名和地址

    • 有效付款方式

    • 电话号码验证

    • 支持计划选项

  6. 在出现一个指明注册过程已完成的对话框时,请选择 Leave organization

    您将看到确认对话框。确认您选择删除账户。您将被重定向到 AWS Organizations 控制台的 “入门” 页面,您可以在其中查看您的账户加入其他组织的所有待处理邀请。

  7. 从组织中删除授予访问您账户的权限的 IAM 角色。

    重要

    如果您的账户是在组织中创建的,则 Organizations 会自动在账户中创建一个允许组织管理账户访问的IAM角色。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果您想终止来自前组织管理账户的此访问权限,则必须手动删除此IAM角色。有关如何删除角色的信息,请参阅IAM用户指南中的删除角色或实例配置文件

AWS CLI & AWS SDKs
作为成员账户退出组织

您可以使用以下命令之一离开组织:

  • AWS CLI:leave-organization

    以下示例将迫使其凭据被用于运行命令的账户退出组织。

    $ aws organizations leave-organization

    如果成功,此命令不会产生任何输出。

  • AWS SDKs: LeaveOrganization

成员账户离开组织后,请务必从组织中移除授予您账户访问权限的IAM角色。

重要

如果您的账户是在组织中创建的,则 Organizations 会自动在账户中创建一个允许组织管理账户访问的IAM角色。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果您想终止来自前组织管理账户的此访问权限,则必须手动删除此IAM角色。有关如何删除角色的信息,请参阅IAM用户指南中的删除角色或实例配置文件

管理账户中的用户也可以remove-account-from-organization改为使用删除成员账户。有关更多信息,请参阅 从组织中移除成员账户