从成员账户中退出组织 Amazon Organizations - Amazon Organizations
注意事项作为成员账户退出组织
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从成员账户中退出组织 Amazon Organizations

登录成员账户后,您可以退出组织。管理账户不能使用此方法离开组织。要移除管理账户,您必须删除组织

注意事项

组织的账户状态会影响可见的成本和使用情况数据

无论组织成员资格如何变化,账户都可以访问过去交付给他们的所有发票以及由他们生成的所有账单数据。但是,Cost Explorer 的数据可见性与当前组织的成员资格息息相关。下表显示了三种常见的账户转换如何影响数据可见性:

发票可用性 账单可用性(例如,账单页面) Cost Explorer 可用性
方案 1

成员账户退出组织 A,成为独立账户

 该账户保留对交付给它的所有历史发票的访问权限。 该账户保留对其作为 OrganizaA 成员生成的所有历史账单数据的访问权限。 该账户无法访问其作为 OrganizatiA 成员生成的历史成本和使用情况数据。
方案 2

成员账户离开组织 A 并加入组织 B

 该账户保留对交付给它的所有历史发票的访问权限。 该账户保留对其作为 OrganizaA 成员生成的所有历史账单数据的访问权限。 该账户无法访问其作为 OrganizatiA 成员生成的历史成本和使用情况数据。
方案三

账户重新加入之前所属的组织

 该账户保留对交付给它的所有历史发票的访问权限。 该账户保留对其生成的所有历史账单数据的访问权限(无论是作为独立账户还是作为其他组织成员生成)。 该账户可以重新访问其作为组织成员的整个时间段内的成本和使用数据,但无法访问其当前组织之外产生的所有历史成本和使用情况。

该账户不再属于代表其接受的组织协议的管辖范围

如果您离开一个组织,您将不再被该组织的管理账户代表您接受的组织协议所涵盖。您可以在 Amazon Artifact 控制台的 “组织协议” 页面上查看这些Amazon Artifact 组织协议的列表。在离开组织之前,您应该在您的法律、隐私或合规性团队的协助下确定您是否有必要建立新的协议。

账户的配额限制可能会发生变化并可能造成影响

将组织作为成员账户退出可能会影响该账户可用的服务配额限制。如果您的自动化工作负载需要更高的限制,请在离开组织后在服务配额控制台中重新访问您的配额,以确保不间断的体验。离开组织后请联系Amazon Support 寻求帮助。

作为成员账户退出组织

要退出组织,请完成以下过程。

最小权限

要退出组织,您必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要。

  • organizations:LeaveOrganization – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以 IAM 用户身份登录并且账户缺少付款信息,则用户必须具有 aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods 权限(如果账户尚未迁移到精细权限)或 payments:CreatePaymentInstrumentpayments:UpdatePaymentPreferences 权限(如果账户已迁移到精细权限)。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅《Amazon Billing 用户指南》中的激活对账单和成本管理控制台的访问权

Amazon Web Services 管理控制台
成员账户离开组织

  1. 在 Amazon Organizations 主机上登录主Amazon Organizations 机。您必须以 IAM 用户身份登录,担任 IAM 角色;或以组织成员账户中的根用户身份登录(不推荐)。

    默认情况下,您无权访问使用创建的成员账户中的 root 用户密码 Amazon Organizations。如果需要,请按照使用访问组织中的成员账户 Amazon Organizations使用根用户(不建议用于日常任务)中的步骤恢复根用户密码。

  2. Organizations 控制面板页面上,选择退出组织

  3. 是否要退出组织?对话框中,选择退出组织。当系统提示进行确认时,确认您选择删除账户。确认后,您将被重定向到 Amazon Organizations 控制台的 “入门” 页面,您可以在其中查看您的账户加入其他组织的所有待处理邀请。

    如果显示当前无法退出组织消息,则表示您的账户尚不具备作为独立账户运行所需的所有信息。如果是这样,请继续下一步。

  4. 如果是否要退出组织?对话框显示当前无法退出组织消息,选择完成账户注册步骤链接。

    如果您没有看到完成账户注册步骤链接,请使用此链接进入注册 Amazon 页面,完成缺少的注册步骤。

  5. 注册 Amazon 页面上,输入成为独立账户所需的所有信息。可能涉及以下类型的信息:

    • 联系人姓名和地址

    • 有效付款方式

    • 电话号码验证

    • 支持计划选项

  6. 在出现一个指明注册过程已完成的对话框时,请选择 Leave organization

    您将看到确认对话框。确认您选择删除账户。您将被重定向到 Amazon Organizations 控制台的 “入门” 页面,您可以在其中查看您的账户加入其他组织的所有待处理邀请。

  7. 从组织中删除授予访问您账户的权限的 IAM 角色。

    重要

    如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

Amazon CLI & Amazon SDKs
作为成员账户退出组织

您可以使用以下命令之一离开组织:

  • Amazon CLI:leave-organization

    以下示例将迫使其凭据被用于运行命令的账户退出组织。

    $ aws organizations leave-organization

    如果成功,此命令不会产生任何输出。

  • Amazon SDKs: LeaveOrganization

在成员账户离开组织后,请确保从组织中删除授予您账户访问权限的 IAM 角色。

重要

如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

管理账户中的用户也可以remove-account-from-organization改为使用删除成员账户。有关更多信息,请参阅 从组织中移除成员账户