使用 AWS Organizations 从组织中移除成员账户 - AWS Organizations
注意事项从组织中移除成员账户

使用 AWS Organizations 从组织中移除成员账户

移除成员账户不会导致该账户被注销,而只是将成员账户从组织中移除。以前的成员账户将成为不再由 AWS Organizations 管理的独立 AWS 账户。

移除账户后,该账户不再受任何策略约束,并自行支付账单。从组织中移除账户后,该账户应计的任何费用将不再计入该组织的管理账户。

注意事项

管理账户创建的 IAM 访问角色不会被自动删除

当您从组织中移除成员账户时,为允许该组织的管理账户访问而创建的任何 IAM 角色都不会自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户

仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户。当您使用 AWS Organizations 控制台、API 或 AWS CLI 命令在组织中创建账户时,系统将不会自动收集独立账户所需的任何信息。

对于您想用作独立账户的每个账户,您必须选择支持计划,提供和验证所需联系信息,并提供当前的付款方式。AWS 将使用该付款方式向账户未绑定到组织期间发生的任何可结算(非AWS免费套餐)AWS活动收费。要移除还没有此信息的账户,请按照 使用 AWS Organizations 使成员账户退出组织 中的步骤操作。

您必须等到账户创建后至少满七天

要删除您在组织中创建的账户,您必须等到账户创建后至少七天。邀请的账户不受此等待期限的限制。

退出组织的账户的所有者将负责所有产生的新成本

当账户成功离开该组织时,AWS 账户的拥有者将负责所有新的AWS应计成本,并使用账户的付款方式。该组织的管理账户不再负责。

该账户不能是为组织启用的任何 AWS 服务的委派管理员账户

要删除的账户不得是为组织启用的任何AWS服务的委托管理员账户。如果该账户是委托管理员,则必须首先将委托管理员账户更改为组织中剩余的其他账户。要详细了解如何禁用或更改 AWS 服务的委托管理员账户,请参阅该服务的文档。

该账户不再能够访问成本和使用情况数据

当某个成员账户离开组织后,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。但是,组织的管理账户仍可以访问这些数据。如果该账户重新加入组织,则其将可以再次访问这些数据。

该账户上附加的标签将被删除

当成员账户离开组织时,所有附加到该账户的标签都将被删除。

该账户中的主体不再受任何组织策略的影响

该账户中的委托人不再受组织内应用的任何策略影响。这意味着,SCP 施加的限制将不复存在,该账户中的用户和角色将比之前拥有更多权限。其他组织策略类型不能再强制执行或处理。

该账户不再属于组织协议的管辖范围

如果从组织中删除成员账户,则该成员账户将不再由组织协议所涵盖。管理账户管理员应在从组织中删除成员账户之前将此信息传达给成员账户,以便成员账户可以在必要时添加新协议。有效的组织协议列表可在 AWS Artifact 控制台的 AWS Artifact Organization Agreements (Amazon Artifact 组织协议) 页面中查看。

与其他服务的集成可能被禁用

与其他服务的集成可能会被禁用。如果您从已启用AWS服务集成的组织中删除账户,则此账户中的用户将无法再使用该服务。

从组织中移除成员账户

登录组织的管理账户后,您可以从组织中移除不再需要的成员账户。为此,请完成以下过程。以下过程仅适用于成员账户。要移除管理账户,您必须删除组织

最小权限

要从您的组织中移除一个或多个成员账户,您必须以管理账户中的用户或角色身份登录并且必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

  • organizations:RemoveAccountFromOrganization

如果您选择在第 5 步中以成员账户中的用户或角色身份登录,则该用户或角色必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要。

  • organizations:LeaveOrganization – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以 IAM 用户身份登录并且账户缺少付款信息,则用户必须具有 aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods 权限(如果账户尚未迁移到精细权限)或 payments:CreatePaymentInstrumentpayments:UpdatePaymentPreferences 权限(如果账户已迁移到精细权限)。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅《AWS Billing 用户指南》中的激活对账单和成本管理控制台的访问权

AWS Management Console
从组织中删除成员账户

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面上,找到并选中要从组织中删除的每个成员账户旁的复选框 Blue checkmark icon indicating confirmation or completion of a task. 。您可以导航 OU 层次结构,或启用 View AWS 账户 only (仅限查看亚马逊云科技账户) 来查看没有 OU 结构的账户的平面列表。如果您有很多账户,您可能需要在列表底部选择 Load more accounts in 'ou-name' (加载使用“OU 名称”的更多账户) 以查找要移动的所有账户。

    AWS 账户页面上,找到并选中要从组织中删除的成员账户的名称。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的账户。

  3. 选择 Actions (操作),然后在AWS 账户下,选择 Remove from organization (从组织中删除)

  4. Remove account 'account-name' (#account-id-num) from organization? (是否从组织中删除账户“账户名称”(#account-id-num)?) 对话框中,选择 Remove account (删除账户)

  5. 如果 AWS Organizations 无法删除一个或多个账户,通常是因为您没有提供账户作为独立账户运行所需的全部信息。执行以下步骤:

    1. 登录失败的账户。建议您通过选择 Copy link (复制链接),然后将它粘贴在新的无痕浏览器窗口的地址栏中来登录成员账户。如果您没有看到复制链接,请使用此链接进入注册 AWS 页面,完成缺少的注册步骤。如果您未使用无痕窗口,则您已注销管理账户,并且无法导航回此对话框。

    2. 此浏览器会将您转至注册过程以完成此账户缺失的任何步骤。完成显示的所有步骤。步骤可能包括:

      • 提供联系人信息

      • 提供有效的付款方式

      • 验证电话号码

      • 选择支持计划选项

    3. 在完成注册过程的最后一步后,AWS 会自动将您的浏览器重定向至成员账户的 AWS Organizations 控制台。选择 Leave organization,然后在确认对话框中确认您的选择。系统将您重定向到 控制台的 Getting StartedAWS Organizations 页面,在其中可以查看您的账户加入其他组织的待处理邀请。

    4. 从组织中删除授予访问您账户的权限的 IAM 角色。

      重要

      如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

AWS CLI & AWS SDKs
从组织中删除成员账户

您可以使用以下命令之一删除成员账户:

从组织中删除成员账户后,请确保从组织中删除授予您账户访问权限的 IAM 角色。

重要

如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

成员账户也可以使用 leave-organization 来移除自己。有关更多信息,请参阅 使用 AWS Organizations 使成员账户退出组织