从组织中删除成员账户 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从组织中删除成员账户

组织账户管理工作的一部分是删除不再需要的成员 账户。此页面介绍了您在删除账户之前需要了解的信息,并提供了删除账户的过程。

有关删除管理账户,请参阅通过删除管理账户来删除组织

从组织中删除账户前需知

删除账户之前,您需要了解以下内容:

  • 仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户。当您使用 Amazon Organizations 控制台、API 或 Amazon CLI 命令在组织中创建账户时,系统将不会自动收集独立账户所需的任何信息。对于您想用作独立账户的每个账户,您必须选择支持计划,提供和验证所需联系信息,并提供当前的付款方式。Amazon使用付款方式收取任何可计费(不是Amazon免费套餐Amazon活动时发生。

  • 要删除您在组织中创建的帐户,您必须等到帐户创建后至少七天。邀请的帐户不受此等待期限的限制。

  • 目前该帐户成功离开组织,所有者的 Amazon Web Services 账户 成为负责所有新的Amazon应计成本,并使用账户的付款方式。该组织的管理账户不再负责。

  • 要删除的帐户不得是任何Amazon服务已启用。如果帐户是委派管理员,则必须先将委派管理员帐户更改为组织中剩余的其他帐户。有关如何禁用或更改Amazon服务,请参阅该服务的文档

  • 即使删除已创建的帐户(使用Amazon Organizations控制台CreateAccountAPI),(i) 创建的账户受创建管理账户与我们之间的协议条款的约束,并且 (ii) 创建管理账户将对其已创建账户的任何行为承担连带和个别责任。未经我们的事先同意,不得转让或转移客户与我们之间的协议以及这些协议下的权利和义务。要获得我们的同意,请通过 https://aws.amazon.com/contact-us/ 与我们联系。

  • 当某个成员账户离开组织后,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。但是,组织的管理账户仍可以访问这些数据。如果该账户重新加入组织,则其将可以再次访问这些数据。

  • 当成员帐户离开组织时,所有附加到该帐户的标签都将被删除。

从组织中删除账户的影响

当您从组织中移除账户时,不会对该账户进行任何直接更改。但会产生以下间接影响:

  • 现在,该账户负责支付自己的费用,并且必须向该账户附加有效的付款方式。

  • 如果您将aws:PrincipalOrgID条件键,以限制仅访问来自 Amazon Web Services 账户 ,则应在删除成员帐户之前查看并可能更新这些策略。如果不更新策略,则当帐户离开组织时,帐户中的用户和角色可能会失去对资源的访问权限。

  • 与其他服务的集成可能会被禁用。如果您从组织中移除账户,该账户已与Amazon服务已启用,则此账户中的用户将无法再使用该服务。

从组织中删除成员账户

登录组织的管理账户后,您可以从组织中删除不再需要的成员账户。为此,请完成以下过程。这些过程仅适用于成员账户。要移除管理账户,您必须删除组织

注意

如果从组织中删除成员账户,则该成员账户将不再由组织协议所涵盖。管理账户管理员应在从组织中删除成员账户之前将此信息传达给成员账户,以便成员账户可以在必要时添加好新协议。有效的组织协议列表可在Amazon Artifact控制台Amazon Artifact组织协议页.

最小权限

要从您的组织中移除一个或多个成员账户,您必须以管理账户中的 IAM 用户或角色身份登录并且必须拥有以下权限:

  • organizations:DescribeOrganization— 仅当使用 “Organizations” 控制台时才需要

  • organizations:RemoveAccountFromOrganization

如果您选择以步骤 6 中成员账户中的 IAM 用户或角色身份登录,则该用户或角色必须拥有以下权限:

  • organizations:DescribeOrganization— 仅当使用 “Organizations” 控制台时才需要。

  • organizations:LeaveOrganization— 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以 IAM 用户身份登录并且账户缺少付款信息,则 IAM 用户必须具有aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此功能,请参阅激活对账单和成本管理控制台的访问权限中的Amazon Billing and Cost Management用户指南

Amazon Web Services Management Console

从组织中删除成员账户

  1. 登录到 Amazon Organizations 控制台您必须以 IAM 用户身份或代入组织管理账户中的 IAM 角色登录。

  2. 在存储库的 Amazon Web Services 账户 页面上,查找并选中复选框 旁的所有要从组织中删除的成员账户。您可以导航 OU 层次结构或启用查看 Amazon Web Services 账户 仅限查看没有 OU 结构的帐户的平面列表。如果您有很多账户,您可能需要选择加载更多帐户 'OU 名称',以查找您想要移动的所有的。

    在存储库的 Amazon Web Services 账户 页面上,查找并选择要从组织中删除的成员账户的名称。您可能需要展开 OU(选择 )以查找您想要的账户。

  3. 选择操作,然后在 Amazon Web Services 账户 中,选择从组织中删除

  4. 删除账户账户名称'(#账户 ID)来自组织?对话框中,选择删除账户

  5. 如果 Amazon Organizations 无法删除一个或多个账户,通常是因为您没有提供账户作为独立账户运行所需的全部信息。执行以下步骤:

    1. 登录失败的账户。建议您通过选择 Copy link (复制链接),然后将它粘贴在新的无痕浏览器窗口的地址栏中来登录成员账户。如果您未使用无痕窗口,则您已注销管理账户,并且无法导航回此对话框。

    2. 此浏览器会将您转至注册过程以完成此账户缺失的任何步骤。完成显示的所有步骤。步骤可能包括:

      • 提供联系人信息

      • 提供有效的付款方式

      • 验证电话号码

      • 选择支持计划选项

    3. 在完成注册过程的最后一步后,Amazon 会自动将您的浏览器重定向至成员账户的 Amazon Organizations 控制台。选择 Leave organization,然后在确认对话框中确认您的选择。系统将您重定向到 控制台的 Getting StartedAmazon Organizations 页面,在其中可以查看您的账户加入其他组织的待处理邀请。

Amazon CLI & Amazon SDKs

从组织中删除成员账户

您可以使用以下命令之一删除成员账户:

作为成员账户退出组织

登录成员账户后,您可以将该账户从其组织中删除。为此,请完成以下过程。管理账户不能使用此方法离开组织。要移除管理账户,您必须删除组织

要删除的帐户不得是任何Amazon服务已启用。如果帐户是委派管理员,则必须先将委派管理员帐户更改为组织中剩余的其他帐户。有关如何禁用或更改Amazon服务,请参阅该服务的文档

重要

如果您离开一个组织,您将不再被该组织的管理账户代表您接受的组织协议所涵盖。您可以在Amazon Artifact控制台Amazon Artifact组织协议页. 在离开组织之前,您应该在您的法律、隐私或合规性团队的协助下确定您是否有必要建立新的协议。

注意

组织的账户状态影响可见的成本和使用率数据:

  • 如果某个成员账户离开组织并且成为独立账户,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。该账户只能访问作为独立账户生成的数据。

  • 如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成员时的时间范围内的成本和使用率数据。该账户只能访问作为组织 B 的成员生成的数据。

  • 如果某个账户重新加入其以前所属的组织,该账户将重新获得对其成本和使用情况历史数据的访问权限。

最小权限

要退出 Amazon 组织,您必须拥有以下权限:

  • organizations:DescribeOrganization— 仅当使用 “Organizations” 控制台时才需要。

  • organizations:LeaveOrganization— 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以 IAM 用户身份登录并且账户缺少付款信息,则 IAM 用户必须具有aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此功能,请参阅激活对账单和成本管理控制台的访问权限中的Amazon Billing and Cost Management用户指南

Amazon Web Services Management Console

以成员账户身份退出组织

  1. 登录到Amazon Organizations控制台Amazon Organizations控制台您必须以 IAM 用户身份或代入成员账户中的 IAM 角色登录。

  2. 在存储库的Organizations 控制面板页面上,选择离开组织

  3. 执行下列步骤之一:

    • 如果您的账户具有作为独立账户运行所需的全部信息,则将显示一个确认对话框。确认您选择删除账户。系统将您重定向到 控制台的 Getting StartedAmazon Organizations 页面,在其中可以查看您的账户加入其他组织的待处理邀请。

    • 如果您的账户没有所有必需信息,请执行以下步骤:

      1. 这将显示一个对话框,其中说明您必须完成一些额外步骤。单击链接。

      2. 完成提供的所有注册步骤。步骤可能包括:

        • 提供联系人信息

        • 提供有效的付款方式

        • 验证电话号码

        • 选择支持计划选项

      3. 在出现一个指明注册过程已完成的对话框时,请选择 Leave organization

      4. 您将看到确认对话框。确认您选择删除账户。系统将您重定向到 控制台的 Getting StartedAmazon Organizations 页面,在其中可以查看您的账户加入其他组织的待处理邀请。

  4. 从组织中删除授予访问您账户的权限的 IAM 角色。

    重要

    如果您的账户是在 Organizations 中创建的,则组织会在账户中自动创建一个 IAM 角色,从而允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅删除角色或实例配置文件中的IAM 用户指南

Amazon CLI & Amazon SDKs

以成员账户身份退出组织

您可以使用以下命令之一离开组织:

  • Amazon CLI:离开

    以下示例使其凭据用于运行命令的帐户离开组织。

    $ aws organizations leave-organization

    成功后,此命令不会生成任何输出。

  • Amazon开发工具包:LeaveOrganization