使用成员账户退出组织 Amazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用成员账户退出组织 Amazon Organizations

当你登录成员账户时,你可以退出组织。管理账户不能使用此方法离开组织。要移除管理账户,您必须删除组织

注意事项

账户在组织中的状态会影响可见的成本和使用数据

如果某个成员账户离开组织并且成为独立账户,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。该账户只能访问作为独立账户生成的数据。

如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成员时的时间范围内的成本和使用率数据。该账户只能访问作为组织 B 的成员生成的数据。

如果某个账户重新加入其以前所属的组织,该账户将重新获得对其成本和使用情况历史数据的访问权限。

代表该账户接受的组织协议不再涵盖该账户

如果您离开一个组织,您将不再被该组织的管理账户代表您接受的组织协议所涵盖。您可以在中查看这些组织协议的列表 Amazon Artifact 控制台上的 Amazon Artifact 组织协议页面。在离开组织之前,您应该在您的法律、隐私或合规性团队的协助下确定您是否有必要建立新的协议。

从成员账户中退出组织

要离开组织,请完成以下程序。

最小权限

要退出 组织,您必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要。

  • organizations:LeaveOrganization – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以IAM用户身份登录但账户缺少付款信息,则该用户必须拥有aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods权限(如果账户尚未迁移到细粒度权限)或payments:CreatePaymentInstrumentpayments:UpdatePaymentPreferences权限(如果账户已迁移到细粒度权限)。此外,成员账户必须启用账单IAM用户访问权限。如果尚未启用此功能,请参阅中的激活账单和成本管理控制台的访问权限 Amazon Billing 用户指南

Amazon Web Services Management Console
成员账户离开组织
  1. 登录 Amazon Organizations 控制台位于 Amazon Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录成员账户(不推荐)。

    默认情况下,您无权访问使用创建的成员账户中的 root 用户密码 Amazon Organizations。 如果需要,请按照中的步骤恢复 root 用户密码以 root 用户身份访问成员账户 Amazon Organizations

  2. Organizations 控制面板页面上,选择退出组织

  3. 是否要退出组织?对话框中,选择退出组织。当系统提示进行确认时,确认您选择删除账户。确认后,您将被重定向到的 “入门” 页面 Amazon Organizations 控制台,您可以在其中查看您的账户加入其他组织的所有待处理邀请。

    如果显示当前无法退出组织消息,则表示您的账户尚不具备作为独立账户运行所需的所有信息。如果是这样,请继续下一步。

  4. 如果是否要退出组织?对话框显示当前无法退出组织消息,选择完成账户注册步骤链接。

    如果您没有看到 “完成账户注册步骤” 链接,请使用此链接前往注册 Amazon页面完成缺少的注册步骤。

  5. 在 “注册” Amazon页面上,输入成为独立账户所需的所有必要信息。可能涉及以下类型的信息:

    • 联系人姓名和地址

    • 有效付款方式

    • 电话号码验证

    • 支持计划选项

  6. 在出现一个指明注册过程已完成的对话框时,请选择 Leave organization

    您将看到确认对话框。确认您选择删除账户。您将被重定向到的 “入门” 页面 Amazon Organizations 控制台,您可以在其中查看您的账户加入其他组织的所有待处理邀请。

  7. 从组织中移除授予您账户访问权限的IAM角色。

    重要

    如果您的账户是在组织中创建的,则 Organizations 会自动在账户中创建一个允许组织管理账户访问的IAM角色。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果您想终止来自前组织管理账户的此访问权限,则必须手动删除此IAM角色。有关如何删除角色的信息,请参阅IAM用户指南中的删除角色或实例配置文件

Amazon CLI & Amazon SDKs
作为成员账户退出组织

您可以使用以下命令之一离开组织:

  • Amazon CLI: 请假组织

    以下示例将迫使其凭据被用于运行命令的账户退出组织。

    $ aws organizations leave-organization

    如果成功,此命令不会产生任何输出。

  • Amazon SDKs: LeaveOrganization

成员账户离开组织后,请务必从组织中移除授予您账户访问权限的IAM角色。

重要

如果您的账户是在组织中创建的,则 Organizations 会自动在账户中创建一个允许组织管理账户访问的IAM角色。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果您想终止来自前组织管理账户的此访问权限,则必须手动删除此IAM角色。有关如何删除角色的信息,请参阅IAM用户指南中的删除角色或实例配置文件

管理账户中的用户也可以remove-account-from-organization改为使用删除成员账户。有关更多信息,请参阅 从组织中移除成员账户