成员账户离开组织 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

成员账户离开组织

登录成员账户后,您可以将该账户从其组织中删除。为此,请完成以下过程。以下过程仅适用于成员账户。管理账户不能使用此方法离开组织。要移除管理账户,您必须删除组织

注意

组织的账户状态影响可见的成本和使用率数据:

  • 如果某个成员账户离开组织并且成为独立账户,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。该账户只能访问作为独立账户生成的数据。

  • 如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成员时的时间范围内的成本和使用率数据。该账户只能访问作为组织 B 的成员生成的数据。

  • 如果某个账户重新加入其以前所属的组织,该账户将重新获得对其成本和使用情况历史数据的访问权限。

重要

如果您离开一个组织,您将不再被该组织的管理账户代表您接受的组织协议所涵盖。您可以在 Amazon Artifact 控制台的 Amazon Artifact Organization Agreements (Amazon Artifact 组织协议) 页面中查看这些组织协议的列表。在离开组织之前,您应该在您的法律、隐私或合规性团队的协助下确定您是否有必要建立新的协议。

最小权限

要退出 Amazon 组织,您必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要。

  • organizations:LeaveOrganization – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以 IAM 用户身份登录并且账户缺少付款信息,则用户必须具有 aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods 权限(如果账户尚未迁移到精细权限)或 payments:CreatePaymentInstrumentpayments:UpdatePaymentPreferences 权限(如果账户已迁移到精细权限)。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅《Amazon Billing 用户指南》中的激活对账单和成本管理控制台的访问权

Amazon Web Services Management Console
成员账户离开组织

  1. Amazon Organizations 控制台处登录到 Amazon Organizations 控制台。您必须以 IAM 用户身份登录,担任 IAM 角色;或以组织成员账户中的根用户身份登录(不推荐)。

    默认情况下,您无权访问使用 Amazon Organizations 创建的成员账户中的根用户密码。如果需要,请按照以根用户身份访问成员账户中的步骤恢复根用户密码。

  2. Organizations 控制面板页面上,选择退出组织

  3. 是否要退出组织?对话框中,选择退出组织。当系统提示进行确认时,确认您选择删除账户。确认后,您将重定向到 Amazon Organizations 控制台的入门页面,可在其中查看您的账户加入其他组织的待处理邀请。

    如果显示当前无法退出组织消息,则表示您的账户尚不具备作为独立账户运行所需的所有信息。如果是这样,请继续下一步。

  4. 如果是否要退出组织?对话框显示当前无法退出组织消息,选择完成账户注册步骤链接。

  5. 注册 Amazon 页面上,输入成为独立账户所需的所有信息。可能涉及以下类型的信息:

    • 联系人姓名和地址

    • 有效付款方式

    • 电话号码验证

    • 支持计划选项

  6. 在出现一个指明注册过程已完成的对话框时,请选择 Leave organization

    您将看到确认对话框。确认您选择删除账户。系统将您重定向到 控制台的 Getting StartedAmazon Organizations 页面,在其中可以查看您的账户加入其他组织的待处理邀请。

  7. 从组织中删除授予访问您账户的权限的 IAM 角色。

    重要

    如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

Amazon CLI & Amazon SDKs
作为成员账户退出组织

您可以使用以下命令之一离开组织:

  • Amazon CLI:leave-organization

    以下示例将迫使其凭据被用于运行命令的账户退出组织。

    $ aws organizations leave-organization

    如果成功,此命令不会产生任何输出。

  • Amazon SDK:LeaveOrganization

在成员账户离开组织后,请确保从组织中删除授予您账户访问权限的 IAM 角色。

重要

如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

管理账户中的用户也可以使用 remove-account-from-organization 来移除成员账户。有关更多信息,请参阅从组织中移除成员账户