通过以下方式从组织中删除成员账户 AWS Organizations - AWS Organizations

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过以下方式从组织中删除成员账户 AWS Organizations

移除成员账户不会导致该账户被注销,而只是将成员账户从组织中移除。以前的成员账户变为独立账户 AWS 账户 不再由管理的 AWS Organizations.

移除账户后,该账户不再受任何策略约束,并自行支付账单。从组织中移除账户后,该账户应计的任何费用将不再计入该组织的管理账户。

注意事项

IAM管理账号创建的访问角色不会自动删除

当您从组织中删除成员账户时,任何为允许该组织的管理账户访问而创建的IAM角色都不会自动删除。如果您想终止来自前组织管理账户的此访问权限,则必须手动删除该IAM角色。有关如何删除角色的信息,请参阅IAM用户指南中的删除角色或实例配置文件

只有当账户拥有作为独立账户运营所需的信息时,您才能将该账户从组织中删除

仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户。当你使用在组织中创建账户时 AWS Organizations 控制台API、或 AWS CLI 命令,独立账户所需的所有信息不会自动收集。

对于您想要独立创建的每个账户,您都必须选择支持计划,提供并验证所需的联系信息,并提供当前的付款方式。 AWS 使用付款方式对任何应计费项收费(不是 AWS 免费套餐) AWS 在账户未关联到组织时发生的活动。要移除还没有此信息的账户,请按照 使用成员账户退出组织 AWS Organizations 中的步骤操作。

您必须等到账户创建后至少七天

要删除您在组织中创建的账户,您必须等到账户创建后至少七天。邀请的账户不受此等待期限的限制。

离开的账户的所有者将负责所有应计的新费用

当账户成功离开组织时,该账户的所有者 AWS 账户 对所有新事物负责 AWS 应计成本,并使用账户的付款方式。该组织的管理账户不再负责。

该账户不能是任何人的委托管理员账号 AWS 为组织启用了服务

要删除的账户不得是任何账户的委派管理员账户 AWS 为您的组织启用了服务。如果该账户是委托管理员,则必须首先将委托管理员账户更改为组织中剩余的其他账户。有关如何禁用或更改委派管理员帐户的更多信息 AWS 服务,请参阅该服务的文档。

该账户无法再访问成本和使用情况数据

当某个成员账户离开组织后,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。但是,组织的管理账户仍可以访问这些数据。如果该账户重新加入组织,则其将可以再次访问这些数据。

账号上附加的标签已删除

当成员账户离开组织时,所有附加到该账户的标签都将被删除。

账户中的委托人不再受任何组织政策的影响

该账户中的委托人不再受组织内应用的任何策略影响。这意味着施加的限制SCPs已经消失,账户中的用户和角色可能比以前拥有更多的权限。其他组织策略类型不能再强制执行或处理。

该账户不再受组织协议的保护

如果从组织中删除成员账户,则该成员账户将不再由组织协议所涵盖。管理账户管理员应在从组织中删除成员账户之前将此信息传达给成员账户,以便成员账户可以在必要时添加新协议。有效的组织协议列表可以在中查看 AWS Artifact 控制台上的 AWS Artifact 组织协议页面。

可能已禁用与其他服务的集成

与其他服务的集成可能会被禁用。如果您从已与某组织集成的组织中移除账户 AWS 服务已启用,则该账户中的用户无法再使用该服务。

从组织中移除成员账户

登录组织的管理账户后,您可以从组织中移除不再需要的成员账户。为此,请完成以下过程。以下过程仅适用于成员账户。要移除管理账户,您必须删除组织

最小权限

要从您的组织中移除一个或多个成员账户,您必须以管理账户中的用户或角色身份登录并且必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

  • organizations:RemoveAccountFromOrganization

如果您选择在第 5 步中以成员账户中的用户或角色身份登录,则该用户或角色必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要。

  • organizations:LeaveOrganization – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以IAM用户身份登录但账户缺少付款信息,则该用户必须拥有aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods权限(如果账户尚未迁移到细粒度权限)或payments:CreatePaymentInstrumentpayments:UpdatePaymentPreferences权限(如果账户已迁移到细粒度权限)。此外,成员账户必须启用账单IAM用户访问权限。如果尚未启用此功能,请参阅中的激活账单和成本管理控制台的访问权限 AWS Billing 用户指南

AWS Management Console
从组织中删除成员账户
  1. 登录 。AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. 在存储库的 AWS 账户页面上,找到并选中要从组织中删除的每个成员帐户 Blue checkmark icon indicating confirmation or completion of a task. 旁边的复选框。您可以浏览 OU 层次结构或启用 “查看” AWS 账户 只能看到没有 OU 结构的账户的平面列表。如果您有很多账户,您可能需要在列表底部选择 Load more accounts in 'ou-name' (加载使用“OU 名称”的更多账户) 以查找要移动的所有账户。

    在存储库的 AWS 账户页面上,找到并选择要从组织中删除的成员帐户的名称。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的帐户。

  3. 选择操作,然后在 AWS 账户,选择从组织中删除

  4. 从组织中删除账户 “账户名” (# account-id-num) 中? 对话框中,选择删除帐户

  5. 如果 AWS Organizations 无法删除一个或多个账户,这通常是因为您没有提供该账户作为独立账户运行所需的所有信息。执行以下步骤:

    1. 登录失败的账户。建议您通过选择 Copy link (复制链接),然后将它粘贴在新的无痕浏览器窗口的地址栏中来登录成员账户。如果您没有看到 “复制” 链接,请使用此链接前往 “注册” AWS页面并完成缺少的注册步骤。如果您未使用无痕窗口,则您已注销管理账户,并且无法导航回此对话框。

    2. 此浏览器会将您转至注册过程以完成此账户缺失的任何步骤。完成显示的所有步骤。步骤可能包括:

      • 提供联系人信息

      • 提供有效的付款方式

      • 验证电话号码

      • 选择支持计划选项

    3. 完成最后一个注册步骤后, AWS 自动将您的浏览器重定向到 AWS Organizations 成员账户的控制台。选择 Leave organization,然后在确认对话框中确认您的选择。您将被重定向到的 “入门” 页面 AWS Organizations 控制台,您可以在其中查看您的账户加入其他组织的所有待处理邀请。

    4. 从组织中移除授予您账户访问权限的IAM角色。

      重要

      如果您的账户是在组织中创建的,则 Organizations 会自动在账户中创建一个允许组织管理账户访问的IAM角色。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果您想终止来自前组织管理账户的此访问权限,则必须手动删除此IAM角色。有关如何删除角色的信息,请参阅IAM用户指南中的删除角色或实例配置文件

AWS CLI & AWS SDKs
从组织中删除成员账户

您可以使用以下命令之一删除成员账户:

从组织中删除成员账户后,请务必从组织中移除授予您账户访问权限的IAM角色。

重要

如果您的账户是在组织中创建的,则 Organizations 会自动在账户中创建一个允许组织管理账户访问的IAM角色。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果您想终止来自前组织管理账户的此访问权限,则必须手动删除此IAM角色。有关如何删除角色的信息,请参阅IAM用户指南中的删除角色或实例配置文件

成员账户也可以使用 leave-organization 来移除自己。有关更多信息,请参阅 使用成员账户退出组织 AWS Organizations