組織からのメンバーアカウントの削除 - AWS Organizations

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

組織からのメンバーアカウントの削除

注記

AWS Organizations では、Organizations 管理コンソールの新しいバージョンが導入されました。コンソール上部にある通知ボックスのリンクを選択すると、古いコンソールと新しいコンソールを切り替えることができます。ぜひ新しいバージョンをお試しになり、ご意見やご感想をお知らせください。お客様のフィードバックをお待ちしております。

組織のアカウントの管理の一環として、不要になったメンバーアカウントを削除します。このページでは、アカウントを削除する前に確認する事項と、アカウントの削除手順を示します。

管理アカウントの削除については、「」を参照してください。管理アカウントの削除による組織の削除

組織のアカウントを削除する前に

アカウントを削除する前に、以下を確認することが重要です。

  • アカウントがスタンドアロンアカウントとして動作するために必要な情報を持っている場合に限り、組織からアカウントを削除できます。AWS Organizations コンソール、API、AWS CLI コマンドを使用して組織内にアカウントを作成しても、スタンドアロンアカウントの必須情報がすべて自動的に収集されるわけではありません。スタンドアロンとして使用する各アカウントについて、サポートプランを選択し、必要な連絡先情報を入力および確認して、現在のお支払い方法を入力する必要があります。AWS では、このお支払い方法を使用して、アカウントが組織に関連付けられていない間に発生する請求対象 (AWS 無料利用枠外) の AWS アクティビティに対して課金されます。

  • アカウントが組織から正常に離れた時点で、AWS アカウントの所有者が蓄積したすべての新しい AWS コストを担当し、アカウントの支払い方法が使用されます。組織の管理アカウントは責任ではなくなります。

  • 削除するアカウントは、組織で有効になっている AWS のサービスの委任管理者アカウントにはなりません。アカウントが委任管理者である場合は、最初に代理管理者アカウントを組織に残っている別のアカウントに変更する必要があります。のサービスの委任管理者アカウントを無効化または変更する方法の詳細については、そのサービスのドキュメントを参照してください。AWS

  • 組織内で作成されたアカウント (AWS Organizations コンソールまたは CreateAccount API を使用して作成されたアカウント) を削除した後でも、作成されたアカウントは、作成されたアカウントは作成された管理アカウントの当社との契約の条件によって管理され、(ii) 作成された管理アカウントは、作成されたアカウントによって実行されたアクションについて、共同で何らかの責任を負うことになります。お客様と当社間の契約、その契約に基づく権利と義務は、当社が事前に同意しない限り、他に割り当てまたは転移することはできません。当社の同意を取得するには、https://aws.amazon.com/contact-us/. までお問い合わせください。

  • メンバーアカウントが組織を離れると、そのアカウントは組織のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。ただし、組織の管理アカウントは、引き続きデータにアクセスできます。再度組織に加わった場合、アカウントは再びデータにアクセスできます。

  • メンバーアカウントが組織を離れると、アカウントにアタッチされているすべてのタグが削除されます。

組織からアカウントを消去した場合の影響

組織からアカウントを削除する場合、そのアカウントに直接的な変更は適用されません。ただし、次の間接的な影響があります。

  • このアカウントは独自の料金を支払う責任を担い、アカウントにアタッチ済みの有効な支払い方法が必要となります。

  • アカウントのプリンシパルは組織で適用したポリシーの影響を受けません。つまり、SCPs によって課せられていた制限がなくなり、そのアカウントのユーザーとロールに以前よりも多くのアクセス権限が付与される場合があります。他の組織のポリシータイプを適用または処理できなくなりました。

  • いずれかのポリシーで aws:PrincipalOrgID 条件キーを使用して、組織内の AWS アカウントからのユーザーとロールのみにアクセスを制限する場合は、メンバーアカウントを削除する前にこれらのポリシーを確認し、必要に応じて更新する必要があります。ポリシーを更新しないと、アカウントが組織を離れたときに、アカウントのユーザーとロールはリソースにアクセスできなくなる可能性があります。

  • 他のサービスとの統合が無効になる場合があります。のサービスとの統合が有効になっている組織からアカウントを削除すると、そのアカウントのユーザーは、同サービスを使用できなくなります。AWS

組織からのメンバーアカウントの削除

組織の管理アカウントにサインインすると、不要になったメンバーアカウントを組織から削除できます。これを行うには、以下の手順を完了します。こうした手順はメンバーアカウントのみに適用されます。管理アカウントを削除するには、組織を削除する必要があります。

注記

メンバーアカウントが組織から削除されると、そのメンバーアカウントは組織契約の対象範囲ではなくなります。管理アカウントの管理者は、メンバーアカウントが必要に応じて新しい契約を用意できるように、メンバーアカウントを組織から削除する前にメンバーアカウントにこのことに連絡する必要があります。組織の有効な契約のリストは、AWS Artifact 組織契約ページの AWS Artifact コンソールで確認できます。

最小限必要なアクセス権限

組織から 1 つまたは複数のメンバーアカウントを削除するには、次のアクセス権限を使用して管理アカウントの IAM ユーザーまたはロールとしてサインインする必要があります。

  • organizations:DescribeOrganization – Organizations コンソールを使用する場合にのみ必要

  • organizations:RemoveAccountFromOrganization

ステップ 6 でメンバーアカウントの IAM ユーザーまたはロールとしてサインインすることを選択した場合、そのユーザーまたはロールには次のアクセス権限が必要となります。

  • organizations:DescribeOrganization – Organizations コンソールを使用する場合にのみ必要.

  • organizations:LeaveOrganization – 組織の管理者は、このアクセス権限を削除するポリシーをアカウントに適用し、組織からアカウントを削除することを禁止できます。

  • ユーザーとしてサインインし、そのアカウントに支払い情報がない場合、その IAM ユーザーにはアクセス権限 IAM および aws-portal:ModifyBilling が必要です。aws-portal:ModifyPaymentMethods また、メンバーアカウントでは、請求への IAM ユーザーアクセスが有効になっている必要があります。有効になっていない場合は、『https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate』の「AWS Billing and Cost Management ユーザーガイドBilling and Cost Management コンソールへのアクセスのアクティベート.」を参照してください。

古いコンソール

組織からメンバーアカウントを削除するには

  1. AWS Organizations コンソールにサインインします。You must sign in as an IAM user, assume an IAM role, or sign in as the root user (not recommended) in the organization’s management account.

  2. で、組織から削除するメンバーアカウントを見つけて選択します。[アカウント] タブ

  3. 削除.] を選択します。

  4. [Remove account] ダイアログボックスで、[Remove account] を選択します。

  5. AWS Organizations が 1 つ以上のアカウントを削除できなかった場合、その原因は、通常、アカウントがスタンドアロンで動作するのに必要な情報の一部が指定されていないためです。以下のステップを実行します。

    1. 失敗したアカウントにサインインします。メンバーアカウントにサインインするには、[リンクのコピー] を選択し、新しい incognito ブラウザウィンドウのアドレスバーに貼り付けることをお勧めします。incognito ウィンドウを使用しないと、管理アカウントからサインアウトされ、このダイアログボックスに戻ることができなくなります。

    2. ブラウザを使用すると、このアカウントで実行していなかったステップを完了するためのサインアッププロセスが直接表示されます。示されたすべてのステップを実行します。これには次のものが含まれます。

      • 連絡先情報を指定する

      • 有効な支払い方法の指定

      • 電話番号を検証する

      • サポートプランオプションを選択する

    3. 最後のサインアップステップを完了すると、AWS によりブラウザがメンバーアカウントの AWS Organizations コンソールに自動的にリダイレクトされます。[Leave organization] を選択し、確認ダイアログボックスで選択を確認します。コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。AWS Organizations

新しいコンソール

組織からメンバーアカウントを削除するには

  1. AWS Organizations コンソールにサインインします。You must sign in as an IAM user, assume an IAM role, or sign in as the root user (not recommended) in the organization’s management account.

  2. で、組織から削除するメンバーアカウントの名前を見つけて選択します。[AWS accounts (AWS アカウント)] ページ

  3. アカウントの詳細ページで、[削除] を選択します。

  4. [Remove account 'account-name' (#account-id) from organization?] ダイアログボックスで、[Remove account] を選択します。

  5. AWS Organizations が 1 つ以上のアカウントを削除できなかった場合、その原因は、通常、アカウントがスタンドアロンで動作するのに必要な情報の一部が指定されていないためです。以下のステップを実行します。

    1. 失敗したアカウントにサインインします。メンバーアカウントにサインインするには、[リンクのコピー] を選択し、新しい incognito ブラウザウィンドウのアドレスバーに貼り付けることをお勧めします。incognito ウィンドウを使用しないと、管理アカウントからサインアウトされ、このダイアログボックスに戻ることができなくなります。

    2. ブラウザを使用すると、このアカウントで実行していなかったステップを完了するためのサインアッププロセスが直接表示されます。示されたすべてのステップを実行します。これには次のものが含まれます。

      • 連絡先情報を指定する

      • 有効な支払い方法の指定

      • 電話番号を検証する

      • サポートプランオプションを選択する

    3. 最後のサインアップステップを完了すると、AWS によりブラウザがメンバーアカウントの AWS Organizations コンソールに自動的にリダイレクトされます。[Leave organization] を選択し、確認ダイアログボックスで選択を確認します。コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。AWS Organizations

AWS CLI & AWS SDKs

組織からメンバーアカウントを削除するには

メンバーアカウントを作成するには、次のいずれかのコマンドを使用します。

メンバーアカウントとしての組織からの登録解除

メンバーアカウントにサインインすると、アカウントを組織から削除できます。これを行うには、以下の手順を完了します。この方法で組織から管理アカウントの登録を解除することはできません。管理アカウントを削除するには、組織を削除する必要があります。

削除するアカウントは、組織で有効になっている AWS のサービスの委任管理者アカウントにはなりません。アカウントが委任管理者である場合は、最初に代理管理者アカウントを組織に残っている別のアカウントに変更する必要があります。のサービスの委任管理者アカウントを無効化または変更する方法の詳細については、そのサービスのドキュメントを参照してください。AWS

重要

組織を離れる場合、組織の管理アカウントによってお客様に代わって受諾された組織契約の対象範囲ではなくなります。これらの組織契約のリストは、AWS Artifact 組織契約ページの AWS Artifact コンソールで表示できます。組織を離れる前に、(必要に応じて、法務、プライバシー、またはコンプライアンスチームの支援を得て) 新しい契約を結ぶ必要があるかどうか判断してください。

注記

組織に対するアカウントのステータスは、表示できるコストと使用状況のデータに影響します。

  • メンバーアカウントが組織を離れてスタンドアロンアカウントになると、そのアカウントは組織のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。アカウントがアクセスできるのは、スタンドアロンアカウントとして生成されたデータのみです。

  • メンバーアカウントが組織 A を離れ組織 B に参加すると、そのアカウントは組織 A のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。アカウントがアクセスできるのは、組織 B のメンバーとして生成されたデータのみです。

  • アカウントが以前に属していた組織に再参加すると、そのアカウントはコストと使用状況データの履歴へのアクセスを再び許可されます。

最小限必要なアクセス権限

AWS 組織を登録解除する場合は、次のアクセス権限が必要です。

  • organizations:DescribeOrganization – Organizations コンソールを使用する場合にのみ必要.

  • organizations:LeaveOrganization – 組織の管理者は、このアクセス権限を削除するポリシーをアカウントに適用し、組織からアカウントを削除することを禁止できます。

  • ユーザーとしてサインインし、そのアカウントに支払い情報がない場合、その IAM ユーザーにはアクセス権限 IAM および aws-portal:ModifyBilling が必要です。aws-portal:ModifyPaymentMethods また、メンバーアカウントでは、請求への IAM ユーザーアクセスが有効になっている必要があります。有効になっていない場合は、『https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate』の「AWS Billing and Cost Management ユーザーガイドBilling and Cost Management コンソールへのアクセスのアクティベート.」を参照してください。

古いコンソール

メンバーアカウントとして組織を登録解除するには

  1. AWS Organizations コンソール (AWS Organizations コンソール) にサインインします。You must sign in as an IAM user, assume an IAM role, or sign in as the root user (not recommended) in a member account.

    デフォルトでは、 を使用して作成されたメンバーアカウントでは root ユーザーのパスワードへのアクセス権はありません。AWS Organizations. 必要に応じて、 の手順に従って root ユーザーのパスワードを回復します。ルートユーザーとしてのメンバーアカウントへのアクセス.

  2. で、[[Organizations Overview (Organizations の概要)] ページLeave organization] を選択します。

  3. 次のいずれかのステップを実行します。

    • スタンドアロンアカウントとして動作するのに必要な情報すべてがそのアカウントに指定されている場合は、確認ダイアログボックスが表示されます。アカウントを削除するには、その選択を確認します。コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。AWS Organizations

    • 必要な情報の一部がアカウントにない場合は、いくつかの追加ステップを完了する必要があることを示すダイアログボックスが表示されます。

      1. リンクをクリックしてプロセスを開始します。

      2. 示されたすべてのサインアップステップを実行します。これには次のものが含まれます。

        • 連絡先情報を指定する

        • 有効な支払い方法の指定

        • 電話番号を検証する

        • サポートプランオプションを選択する

      3. サインアッププロセスが完了したことを示すダイアログボックスが表示されたら、[Leave organization.] を選択します。

      4. 確認のダイアログボックスが表示されます。アカウントを削除するには、その選択を確認します。コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。AWS Organizations

  4. アカウントへのアクセスを許可する IAM ロールを組織から削除します。

    重要

    アカウントが組織で作成された場合、組織の管理アカウントによるアクセスを有効にするための Organizations ロールが IAM によってアカウントに自動的に作成されています。参加するようにアカウントが招待された場合、このようなロールは Organizations によって自動作成されませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからのこのアクセスを終了するには、この IAM ロールを手動で削除する必要があります。ロールを削除する方法については、https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html の「ロールまたはインスタンスプロファイルの削除IAM ユーザーガイド」を参照してください。

新しいコンソール

メンバーアカウントとして組織を登録解除するには

  1. AWS Organizations コンソール (AWS Organizations コンソール) にサインインします。You must sign in as an IAM user, assume an IAM role, or sign in as the root user (not recommended) in a member account.

    デフォルトでは、 を使用して作成されたメンバーアカウントでは root ユーザーのパスワードへのアクセス権はありません。AWS Organizations. 必要に応じて、 の手順に従って root ユーザーのパスワードを回復します。ルートユーザーとしてのメンバーアカウントへのアクセス.

  2. で、[[Organizations Dashboard (Organizations ダッシュボード)] ページLeave organization] を選択します。

  3. 次のいずれかのステップを実行します。

    • スタンドアロンアカウントとして動作するのに必要な情報すべてがそのアカウントに指定されている場合は、確認ダイアログボックスが表示されます。アカウントを削除するには、その選択を確認します。コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。AWS Organizations

    • 必要な情報の一部がアカウントにない場合は、次のステップを実行します。

      1. 追加のステップをいくつか完了する必要があることを示すダイアログボックスが表示されます。リンクをクリックします。

      2. 示されたすべてのサインアップステップを実行します。これには次のものが含まれます。

        • 連絡先情報を指定する

        • 有効な支払い方法の指定

        • 電話番号を検証する

        • サポートプランオプションを選択する

      3. サインアッププロセスが完了したことを示すダイアログボックスが表示されたら、[Leave organization.] を選択します。

      4. 確認のダイアログボックスが表示されます。アカウントを削除するには、その選択を確認します。コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。AWS Organizations

  4. アカウントへのアクセスを許可する IAM ロールを組織から削除します。

    重要

    アカウントが組織で作成された場合、組織の管理アカウントによるアクセスを有効にするための Organizations ロールが IAM によってアカウントに自動的に作成されています。参加するようにアカウントが招待された場合、このようなロールは Organizations によって自動作成されませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからのこのアクセスを終了するには、この IAM ロールを手動で削除する必要があります。ロールを削除する方法については、https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html の「ロールまたはインスタンスプロファイルの削除IAM ユーザーガイド」を参照してください。

AWS CLI & AWS SDKs

メンバーアカウントとして組織を登録解除するには

組織を登録解除するには、次のいずれかのコマンドを使用します。

  • AWS CLI: aws organizations leave-organization

    次の例では、コマンドの実行に使用する認証情報を持つアカウントが組織から解除されます。

    $ aws organizations leave-organization

    このコマンドは、成功しても出力を生成しません。

  • AWS SDKs: LeaveOrganization