使用以下方式将账户迁移到其他组织 Amazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用以下方式将账户迁移到其他组织 Amazon Organizations

您可以随时将一个组织 Amazon Web Services 账户 从另一个组织迁移到另一个组织。例如,当您需要将多个组织中的一个或多个 Amazon Web Services 账户 组织合并为一个组织时,在合并和收购的情况下,迁移账户可能会很有帮助。

无论是哪种应用场景,在组织之间迁移账户都需要您从旧组织中移除账户,使该账户成为独立账户,并且该账户必须接受新组织的邀请以加入新组织。在迁移过程中,工作负载和服务将继续按照您的规范运行。但要注意组织中可能存在的任何依赖项,这一点十分重要。

注意

无法迁移已注销或暂停的账户

您无法迁移已注销或暂停的账户。要重新激活账户,请联系 Amazon Web Services 支持

七天龄期要求

在组织中创建账户后,必须至少要满七天才能迁移该账户。邀请的账户不受此等待期限的限制。

在账户之间复制数据

以下 Amazon 规范性指南提供了有关在以下位置之间复制数据的策略的信息 Amazon Web Services 账户:资源复制或在资源之间迁移。 Amazon Web Services 账户

迁移账户之前需要完成的操作

在将您的组织 Amazon Web Services 账户 从一个组织迁移到另一个组织之前,请确保您已完成以下步骤。

第 1 步:检查您是否拥有迁移账户所需的IAM权限

确保您已应用了将账户迁移到相关组织所需的权限。

要退出组织,您必须拥有以下权限:

  • organizations:DescribeOrganization (仅限控制台)

  • organizations:LeaveOrganization

有关更多信息,请参阅从成员账户退出组织

Amazon Web Services 账户 要邀请加入组织,您必须具有以下权限:

  • organizations:DescribeOrganization (仅限控制台)

  • organizations:InviteAccountToOrganization

有关更多信息,请参阅邀请 Amazon Web Services 账户 加入您的组织

要迁移账户,您不能有阻止迁移的IAM策略或服务控制策略

如果您是管理账户或委托管理员,则可以通过为组织内的IAM身份(用户、群组和角色)附加权限策略来控制对 Amazon 资源的访问权限。有关更多信息,请参阅IAM政策 Amazon Organizations

迁移账户之前的准备:

  • 检查是否存在阻止您迁移账户的IAM策略或服务控制策略 (SCPs)。

  • 确定需要在迁移账户的组织中复制的现有IAM策略和服务控制策略 (SCPs)。

  • 确定指定您的组织 ID 的现有IAM政策。例如,aws:PrincipalOrgID

有关更多信息,请参阅《IAM用户指南》中的管理IAM策略服务控制策略(SCPs)

第 2 步:检查您是否已删除允许访问旧管理账户的IAM权限

确保您已删除允许访问旧管理账户的IAM权限,例如OrganizationAccountAccessRole

当您从组织中删除成员账户时,任何为允许该组织的管理账户访问而创建的IAM角色都不会自动删除。如果您想终止来自前组织管理账户的此访问权限,则必须手动删除该IAM角色。

有关如何删除角色的信息,请参阅IAM用户指南中的删除角色或实例配置文件

步骤 3:检查手机验证和付款方式

要迁移的账户必须作为独立账户运行一段时间后才能迁移到新组织。

要允许账户作为独立账户运行,请检查以下项目:

  • 确保您的电话验证为 up-to-date。

  • 确保为账户添加了有效的付款方式,以用于支付账户迁移期间产生的任何费用。

  • 如果您使用发票作为付款方式,请确保您的发票是 up-to-date。

步骤 4:备份所有报告

请务必从管理账户导出或备份报告,尤其是账单报告。迁移账户时不会存储组织级别的报告和历史记录。建议您完整导出所有账单历史记录。您仍然可以访问成员账户的报告,例如 Amazon CloudTrail 活动历史记录和账户账单历史记录。

重要

将账户从组织中移除后,所有组织级别的报告和历史记录(例如管理账户中的组织账单信息)都将被删除。

有关更多信息,请参阅成本和使用情况报告Cost Explorer 报告节省计划报告以及预留实例(RI)利用率和覆盖范围

步骤 5:检查组织依赖项

确保要迁移的账户不存在任何与组织相关的依赖项。

要检查的依赖项:

  • 如果该账户是委派管理员,则必须先将委派管理员权限取消注册,然后才能迁移账户。有关更多信息,请参阅可与之配合使用的服务 Amazon Organizations

  • 如果该账户是管理账户,则迁移前必须从组织中移除所有成员账户并删除组织。删除组织后,您的管理账户将作为独立账户运行。迁移后,管理账户将成为新组织的成员账户。有关更多信息,请参阅删除组织

  • 如果任何IAM权限取决于账户,则需要在将账户迁移到新组织后调整旧组织的权限,这样旧组织才能像以前一样运作。有关更多信息,请参阅管理组织的访问权限

  • 如果您使用任何账户或组织单位(OU)标签,则需要在新组织中重新创建这些标签。

(可选)步骤 6:如果您使用,请查看指南 Amazon Control Tower

如果您要将账户迁入或迁出由管理的组织 Amazon Control Tower,请查看以下 Amazon 规范性指南:将 Amazon 成员账户从 Amazon Organizations 迁移到。 Amazon Control Tower

迁移账户时需要完成的操作

迁移过程需要新组织向迁移账户发送邀请,旧组织需要移除要迁移的账户,并且要迁移的账户需要接受新组织发出的加入新组织的邀请。

迁移账户
  1. 从新组织的管理账户向要迁移的账户发送邀请。您应在该账户退出旧组织之前向其发送邀请。这有助于尽可能降低要迁移的账户临时作为独立账户运行时产生的成本。有关邀请账户的信息,请参阅邀请 Amazon Web Services 账户 加入您的组织

  2. 从旧组织中移除要迁移的账户。您可以使用管理账户将成员账户从组织中移除,也可以成员账户身份退出组织

  3. 接受加入新组织的邀请。有关更多信息,请参阅接受来自组织的邀请。从一个组织迁移到另一个组织的账户将自动添加到新组织的根目录中。在将账户移至新组织中的组织单位 (OU) 之前,建议您检查要迁移的账户是否具有相应的组织策略和 OU 权限。

  4. 要迁移管理账户,必须首先从组织中移除所有成员账户删除组织,然后才能将管理账户迁移到新组织。删除旧组织后,您的管理账户将作为独立账户运行,并且可以接受新组织发出的加入新组织的邀请。如果您接受邀请,该管理账户将成为新组织的成员账户。

迁移账户之后需要完成的操作

在将账户从一个组织迁移到另一个组织之后,务必要完成以下步骤。

迁移后检查
  1. 评估迁移后账户的所有账单工具配置,例如成本类别、预算和账单警报等。

  2. 对于您从一个组织迁移到另一个组织的所有账户,检查并更新以下货币信息:

    1. 必要时更新账户的税务设置

    2. 确保要迁移的账户的 Amazon Web Services 支持 计划与新组织的付款人账户相匹配。

    3. 检查您可能想应用到迁移后账户的任何可能免税待遇

  3. 验证并确认已迁移账户的现有IAM策略和服务控制策略 (SCPs)。例如,您可能需要更新某些IAM策略的组织 ID 以反映新组织。

  4. 更新您迁移了账户的新组织的成本分配标签。您需要更新您迁移的账户之前收集的所有成本分配标签。

  5. 任何预留实例节省计划都将随账户一起迁移,而不会保留在旧组织中。 Amazon Web Services 支持 如果需要将这些文件转移到旧组织,请联系。