从组织中删除成员账户 - AWS Organizations
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

从组织中删除成员账户

组织账户管理工作的一部分是删除不再需要的成员 账户。此页面介绍了您在删除账户之前需要了解的信息,并提供了删除账户的过程。

有关删除 账户的信息,请参阅通过删除主账户来删除组织

从组织中删除账户前需知

删除账户之前,您需要了解以下内容:

  • 仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户。当您使用 AWS Organizations 控制台、API 或 AWS CLI 命令在组织中创建账户时,系统将不会自动收集独立账户所需的任何信息。对于您想用作独立账户的每个账户,您必须接受 AWS 客户协议,选择支持计划,提供和验证所需联系信息,并提供当前的付款方式。AWS 将使用该付款方式向账户未绑定到组织期间发生的任何可结算(非 AWS 免费套餐)AWS 活动收费。

  • 即使在从组织内删除已创建的账户(使用 AWS Organizations 控制台或 CreateAccount API 创建的账户)之后,(i) 已创建账户仍受与我们达成的创建主账户协议条款的约束,并且 (ii) 创建主账户将对其创建的账户执行的任何操作承担共同和单独的责任。未经我们的事先同意,不得转让或转移客户与我们之间的协议以及这些协议下的权利和义务。要获得我们的同意,请通过 https://aws.amazon.com/contact-us/ 与我们联系。

  • 当某个成员账户离开组织后,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。但是,组织的主账户仍可以访问这些数据。如果该账户重新加入组织,则其将可以再次访问这些数据。

从组织中删除账户的影响

当您从组织中移除账户时,不会对该账户进行任何直接更改。但会产生以下间接影响:

  • 现在,该账户负责支付自己的费用,并且必须向该账户附加有效的付款方式。

从组织中删除成员账户

登录组织的主账户后,您可以从组织中移除不再需要的成员账户。为此,请完成以下过程。这些过程仅适用于成员账户。要移除主账户,您必须删除组织

注意

如果从组织中删除成员账户,则该成员账户将不再由组织协议所涵盖。主账户管理员应在从组织中删除成员账户之前将此信息传达给成员账户,以便成员账户可以在必要时添加好新协议。有效的组织协议列表可在 AWS Artifact 组织协议中进行查看。

最小权限

要从您的组织中移除一个或多个成员账户,您必须以主账户中的 IAM 用户或角色身份登录并且必须拥有以下权限:

  • organizations:DescribeOrganization (仅限控制台)

  • organizations:RemoveAccountFromOrganization

如果您选择在步骤 5 中以成员账户中的 IAM 用户或角色身份登录,则该用户或角色必须拥有以下权限:

  • organizations:DescribeOrganization (仅限控制台).

  • organizations:LeaveOrganization – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以 IAM 用户身份登录并且账户缺少付款信息,则 IAM 用户必须具有 aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods 权限。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅 AWS Billing and Cost Management 用户指南 中的激活对账单和成本管理控制台的访问权

从组织中删除成员账户 (控制台)

  1. 通过 https://console.amazonaws.cn/organizations/ 登录 组织 控制台。您必须登录组织的主账户。

  2. Accounts (账户) 选项卡上,选中要从组织中删除的成员账户旁的复选框。可以选择多个。

  3. 选择 Remove account

  4. Remove account 对话框中,选择 Remove

    这将显示一个对话框,其中显示每个账户的成功或失败状态。

  5. 如果 AWS Organizations 无法删除一个或多个账户,通常是因为您没有提供账户作为独立账户运行所需的全部信息。执行以下步骤:

    1. 登录其中一个失败的账户。

    2. 建议您通过选择 Copy link (复制链接),然后将它粘贴在新的无痕浏览器窗口的地址栏中来登录成员账户。如果您未使用无痕窗口,则您已注销主账户,并且无法导航回此对话框。

    3. 此浏览器会将您转至注册过程以完成此账户缺失的任何步骤。完成显示的所有步骤。步骤可能包括:

      • 提供联系人信息

      • 接受 AWS 客户协议

      • 提供有效的付款方式

      • 验证电话号码

      • 选择支持计划选项

    4. 在完成注册过程的最后一步后,AWS 会自动将您的浏览器重定向至成员账户的 AWS Organizations 控制台。选择 Leave organization,然后在确认对话框中确认您的选择。系统将您重定向到 AWS Organizations 控制台的 Getting Started (入门) 页面,在其中可以查看您的账户加入其他组织的任何待处理邀请。

从组织中删除成员账户(AWS CLI、AWS API)

您可以使用以下命令之一删除成员账户:

作为成员账户退出组织

登录成员账户后,您可以将该账户从其组织中删除。为此,请完成以下过程。主账户不能使用此方法离开组织。要移除主账户,您必须删除组织

注意

如果您离开一个组织,您将不再被该组织的主账户代表您接受的组织协议所涵盖。您可以在 AWS Artifact 组织协议中查看这些组织协议的列表。在离开组织之前,您应该在您的法律、隐私或合规性团队的协助下确定您是否有必要建立新的协议。

最小权限

要退出 AWS 组织,您必须拥有以下权限:

  • organizations:DescribeOrganization (仅限控制台).

  • organizations:LeaveOrganization – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以 IAM 用户身份登录并且账户缺少付款信息,则 IAM 用户必须具有 aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods 权限。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅 AWS Billing and Cost Management 用户指南 中的激活对账单和成本管理控制台的访问权

注意

组织的账户状态影响可见的成本和使用率数据:

  • 当某个独立账户加入组织时,该账户不再有权访问其属于独立账户时的时间范围内的成本和使用率数据。

  • 如果某个成员账户离开组织并且成为独立账户,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。该账户只能访问作为独立账户生成的数据。

  • 如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成员时的时间范围内的成本和使用率数据。该账户只能访问作为组织 B 的成员生成的数据。

  • 如果某个账户重新加入其以前所属的组织,该账户将重新获得对其成本和使用情况历史数据的访问权限。

以成员账户身份退出组织 (控制台)

  1. 通过 https://console.amazonaws.cn/organizations/ 登录 组织 控制台。您可以具有必需权限的 IAM 用户的身份登录,或以要从组织中删除的成员账户的根用户的身份登录。默认情况下,您无权访问使用 AWS Organizations 创建的成员账户中的根用户密码。如果需要,请按照以根用户身份访问成员账户中的步骤恢复根用户密码。

  2. Organization overview 页面上,选择 Leave organization

  3. 执行下列步骤之一:

    • 如果您的账户具有作为独立账户运行所需的全部信息,则将显示一个确认对话框。确认您选择删除账户。系统将您重定向到 AWS Organizations 控制台的 Getting Started (入门) 页面,在其中可以查看您的账户加入其他组织的任何待处理邀请。

    • 如果您的账户没有所有必需信息,请执行以下步骤:

      1. 这将显示一个对话框,其中说明您必须完成一些额外步骤。单击链接。

      2. 完成提供的所有注册步骤。步骤可能包括:

        • 提供联系人信息

        • 接受 AWS 客户协议

        • 提供有效的付款方式

        • 验证电话号码

        • 选择支持计划选项

      3. 在出现一个指明注册过程已完成的对话框时,请选择 Leave organization

      4. 您将看到确认对话框。确认您选择删除账户。系统将您重定向到 AWS Organizations 控制台的 Getting Started (入门) 页面,在其中可以查看您的账户加入其他组织的任何待处理邀请。

  4. 从组织中删除授予访问您账户的权限的 IAM 角色。

    重要

    如果您的账户是在组织中创建的,组织 会在该账户中自动创建一个 IAM 角色,以允许组织的主账户进行访问。如果该账户被邀请加入,则 组织 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的主账户的此访问权限,则必须手动删除此 IAM 角色。

作为成员账户退出组织(AWS CLI、AWS API)

您可以使用以下命令之一离开组织: