組織からのメンバーアカウントの削除 - AWS Organizations

組織からのメンバーアカウントの削除

組織のアカウントの管理の一環として、不要になったメンバーアカウントを削除します。このページでは、アカウントを削除する前に確認する事項と、アカウントの削除手順を示します。

管理アカウントの削除については、管理アカウントの削除による組織の削除 を参照してください。

組織のアカウントを削除する前に

アカウントを削除する前に、以下を確認することが重要です。

  • アカウントがスタンドアロンアカウントとして動作するために必要な情報を持っている場合に限り、組織からアカウントを削除できます。AWS Organizations コンソール、API、AWS CLI コマンドを使用して組織内にアカウントを作成しても、スタンドアロンアカウントの必須情報がすべて自動的に収集されるわけではありません。スタンドアロンとして使用する各アカウントについて、サポートプランを選択し、必須の連絡先情報を入力および検証して、現在の支払い方法を入力する必要があります。この支払い方法は、アカウントが組織に関連付けられていない間に発生する課金対象 (AWS 無料利用枠外) の AWS アクティビティに対して課金するために AWS によって使用されます。

  • 組織内に作成したアカウントを削除するには、アカウントが作成されてから 7 日以上が経過している必要があります。招待されたアカウントの場合には、7 日間待つ必要はありません。

  • アカウントが正常に組織を離れた時点で、その AWS アカウント の所有者は、新たに発生するすべての AWS コストと、アカウントに適用される支払い方法についての責任を負います。そのとき以降、組織の管理アカウントが責任を負うことはありません。

  • 削除するアカウントは、組織の AWS サービスの代理管理者アカウントであってはなりません。アカウントが代理管理者である場合は、まずその代理管理者アカウントを組織に残る別のアカウントに変更する必要があります。AWS サービスの代理管理者アカウントの無効化または変更の方法について詳しくは、実際のサービスのドキュメントを参照してください。

  • 組織内から作成されたアカウント (AWS Organizations コンソールまたは CreateAccount API を使用して作成されたアカウント) を削除した後も、(i) 作成されたアカウントには、作成元の管理アカウントの契約条項が適用されます。また、(ii) 作成元の管理アカウントは、作成されたアカウントによって行われるいかなるアクションについても連帯責任を負います。お客様と当社間の契約、その契約に基づく権利と義務は、当社が事前に同意しない限り、他に割り当てまたは転移することはできません。当社の同意を取得するには、https://aws.amazon.com/contact-us/ までお問い合わせください。

  • メンバーアカウントが組織を離れると、そのアカウントは組織のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。ただし、組織の管理アカウントは引き続きデータにアクセスできます。再度組織に加わった場合、アカウントは再びデータにアクセスできます。

  • メンバーアカウントが組織を離れると、そのアカウントにアタッチされていたタグはすべて削除されます。

組織からアカウントを消去した場合の影響

組織からアカウントを削除する場合、そのアカウントに直接的な変更は適用されません。ただし、次の間接的な影響があります。

  • このアカウントは独自の料金を支払う責任を担い、アカウントにアタッチ済みの有効な支払い方法が必要となります。

  • アカウントのプリンシパルは組織で適用されていたポリシーの影響を受けなくなります。つまり、SCP によって課せられていた制限がなくなり、そのアカウントのユーザーとロールに以前より多くのアクセス許可が付与される可能性があります。その他の組織ポリシータイプが適用または処理されることはなくなります。

  • ポリシーに aws:PrincipalOrgID 条件キーを使用し、組織の AWS アカウント のユーザーとロールだけにアクセスを限定している場合は、そのメンバーアカウントを削除する前にそのポリシーを確認し、必要に応じて更新します。ポリシーを更新していない状態でアカウントが組織を離れると、そのアカウントのユーザーとロールがリソースにアクセスできなくなる可能性があります。

  • 他のサービスとの統合が無効になる場合があります。AWS サービスとの統合が有効になっている組織からアカウントを削除すると、アカウントのユーザーはそのサービスを使用できなくなります。

組織からのメンバーアカウントの削除

組織の管理アカウントにサインインすると、不要になったメンバーアカウントを組織から削除できます。これを行うには、以下の手順を完了します。こうした手順はメンバーアカウントのみに適用されます。管理アカウントを削除するには、組織を削除する必要があります。

注記

メンバーアカウントが組織から削除されると、そのメンバーアカウントは組織契約の対象範囲ではなくなります。管理アカウントの管理者は、メンバーアカウントが必要に応じて新しい契約を用意できるよう、メンバーアカウントを組織から削除する前に、そのことをメンバーアカウントに通達するべきです。有効な組織契約の一覧は、AWS Artifact コンソールの [AWS Artifact Organization Agreements] (AWS Artifact 組織契約) ページで確認できます。

最小限必要なアクセス権限

組織から 1 つ以上のメンバーアカウントを削除するには、次のアクセス許可がある管理アカウントの IAM ユーザーまたはロールとしてサインインする必要があります。

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要

  • organizations:RemoveAccountFromOrganization

ステップ 6 でメンバーアカウントの IAM ユーザーまたはロールとしてサインインすることを選択した場合、そのユーザーまたはロールには次のアクセス許可が必要となります。

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要です。

  • organizations:LeaveOrganization - 組織の管理者は、このアクセス許可を削除するポリシーをアカウントに適用し、組織からアカウントを削除することを禁止できます。

  • IAM ユーザーとしてサインインし、そのアカウントに支払い情報がない場合、その IAM ユーザーにはアクセス許可 (aws-portal:ModifyBilling および aws-portal:ModifyPaymentMethods) が必要です。また、メンバーアカウントでは、請求への IAM ユーザーアクセスが有効になっている必要があります。有効になっていない場合は、AWS Billing ユーザーガイドBilling and Cost Management コンソールへのアクセスを有効にするを参照してください。

AWS Management Console

組織からメンバーアカウントを削除するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. AWS アカウント ページで、組織から削除するメンバーアカウントを探し、その横にあるチェックボックス をオンにします。OU の階層を移動するか、[View AWS アカウント only] (AWS アカウント だけを表示する) をオンにして OU 構造のないフラットリストでアカウントを表示できます。アカウントが多い場合、削除対象をすべて見つけるにはリスト下部の [Load more accounts in 'ou-name'] ('ou-name' のアカウントをさらに読み込む) を選択する必要がある場合があります。

    AWS アカウント ページで、組織から削除するメンバーアカウントの名前を探し、選択します。場合によっては、目的のアカウントを見つけるには OU を展開 ( を選択) する必要があります。

  3. [Actions] (アクション) を選択し、[AWS アカウント] で [Remove from organization] (組織から削除する) を選択します。

  4. [Remove account 'account-name' (#account-id-num) from organization?] (アカウント 'account-name' (#account-id-num) を組織から削除しますか?) ダイアログボックスで、[Remove account] (アカウントを削除する) を選択します。

  5. AWS Organizations が 1 つ以上のアカウントを削除できなかった場合、その原因は、通常、アカウントがスタンドアロンで動作するのに必要な情報の一部が指定されていないためです。以下のステップを実行します。

    1. 失敗したアカウントにサインインします。メンバーアカウントには、[Copy link] を選択してから、新しい incognito ブラウザウィンドウのアドレスバーに貼り付けてサインインすることをお勧めします。シークレットウィンドウを使用しない場合は、管理アカウントからサインアウトされ、このダイアログボックスに戻ることができなくなります。

    2. ブラウザを使用すると、このアカウントで実行していなかったステップを完了するためのサインアッププロセスが直接表示されます。示されたすべてのステップを実行します。これには次のものが含まれます。

      • 連絡先情報を指定する

      • 有効な支払い方法の指定

      • 電話番号を検証する

      • サポートプランオプションを選択する

    3. 最後のサインアップステップを完了すると、AWS によりブラウザがメンバーアカウントの AWS Organizations コンソールに自動的にリダイレクトされます。[Leave organization] を選択し、確認ダイアログボックスで、その選択を確認します。AWS Organizations コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。

AWS CLI & AWS SDKs

組織からメンバーアカウントを削除するには

メンバーアカウントを作成するには、次のいずれかのコマンドを使用します。

メンバーアカウントとしての組織からの登録解除

メンバーアカウントにサインインすると、そのアカウントを組織から削除できます。これを行うには、以下の手順を完了します。管理アカウントは、この方法で組織を離れることはできません。管理アカウントを削除するには、組織を削除する必要があります。

削除するアカウントは、組織の AWS サービスの代理管理者アカウントであってはなりません。アカウントが代理管理者である場合は、まずその代理管理者アカウントを組織に残る別のアカウントに変更する必要があります。AWS サービスの代理管理者アカウントの無効化または変更の方法について詳しくは、実際のサービスのドキュメントを参照してください。

重要

組織を離れると、メンバーアカウントを代表して組織の管理アカウントによって受諾されていた組織契約は適用されなくなります。こうした組織契約の一覧は、AWS Artifact コンソールの [AWS Artifact Organization Agreements] (AWS Artifact 組織契約) ページで確認できます。組織を離れる前に、(必要に応じて、法務、プライバシー、またはコンプライアンスチームの支援を得て) 新しい契約を結ぶ必要があるかどうか判断してください。

注記

組織に対するアカウントのステータスは、表示できるコストと使用状況のデータに影響します。

  • メンバーアカウントが組織を離れてスタンドアロンアカウントになると、そのアカウントは組織のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。アカウントがアクセスできるのは、スタンドアロンアカウントとして生成されたデータのみです。

  • メンバーアカウントが組織 A を離れ組織 B に参加すると、そのアカウントは組織 A のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。アカウントがアクセスできるのは、組織 B のメンバーとして生成されたデータのみです。

  • アカウントが以前に属していた組織に再参加すると、そのアカウントはコストと使用状況データの履歴へのアクセスを再び許可されます。

最小限必要なアクセス権限

AWS 組織を登録解除する場合は、次のアクセス権限が必要です。

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要です。

  • organizations:LeaveOrganization - 組織の管理者は、このアクセス許可を削除するポリシーをアカウントに適用し、組織からアカウントを削除することを禁止できます。

  • IAM ユーザーとしてサインインし、そのアカウントに支払い情報がない場合、その IAM ユーザーにはアクセス許可 (aws-portal:ModifyBilling および aws-portal:ModifyPaymentMethods) が必要です。また、メンバーアカウントでは、請求への IAM ユーザーアクセスが有効になっている必要があります。有効になっていない場合は、AWS Billing ユーザーガイドBilling and Cost Management コンソールへのアクセスを有効にするを参照してください。

AWS Management Console

メンバーアカウントとして組織を離れるには

  1. AWS Organizations コンソールで、AWS Organizations コンソールにサインインします。メンバーアカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

    デフォルトでは、AWS Organizations を使用して作成されたメンバーアカウントでは root ユーザーのパスワードへのアクセス権はありません。必要に応じて、ルートユーザーとしてのメンバーアカウントへのアクセス の手順に従って root ユーザーのパスワードを回復します。

  2. Organizations ダッシュボードページで、[Leave organization] (組織を離れる) を選択します。

  3. 次のいずれかのステップを実行します。

    • スタンドアロンアカウントとして動作するのに必要な情報すべてがそのアカウントに指定されている場合は、確認ダイアログボックスが表示されます。アカウントを削除するには、その選択を確認します。AWS Organizations コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。

    • 必要な情報の一部がアカウントにない場合は、次のステップを実行します。

      1. 追加のステップをいくつか完了する必要があることを示すダイアログボックスが表示されます。リンクをクリックします。

      2. 示されたすべてのサインアップステップを実行します。これには次のものが含まれます。

        • 連絡先情報を指定する

        • 有効な支払い方法の指定

        • 電話番号を検証する

        • サポートプランオプションを選択する

      3. サインアッププロセスが完了したことを示すダイアログボックスが表示されたら、[Leave organization] を選択します。

      4. 確認のダイアログボックスが表示されます。アカウントを削除するには、その選択を確認します。AWS Organizations コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。

  4. アカウントへのアクセスを付与する IAM ロールを組織から削除します。

    重要

    組織で作成されたアカウントの場合、組織の管理アカウントによるアクセスを有効にするための IAM ロールが、Organizations によってアカウントに自動的に作成されています。招待されたアカウントの場合、Organizations によってこのようなロールが自動で作成されることはありませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、この IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、IAM ユーザーガイドロールまたはインスタンスプロファイルの削除を参照してください。

AWS CLI & AWS SDKs

メンバーアカウントとして組織を離れるには

組織を登録解除するには、次のいずれかのコマンドを使用します。

  • AWS CLI: leave-organization

    次の例では、アカウントの認証情報を使用し、組織を離れるコマンドを実行しています。

    $ aws organizations leave-organization

    このコマンドが成功した場合、出力は生成されません。

  • AWS SDK: LeaveOrganization