組織からのメンバーアカウントの削除 - AWS Organizations

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

組織からのメンバーアカウントの削除

組織のアカウントの管理の一環として、不要になったメンバーアカウントを削除します。このページでは、アカウントを削除する前に確認する事項と、アカウントの削除手順を示します。

管理アカウント (以前の「マスターアカウント」) の削除の詳細については、「」を参照してください管理アカウントの削除による組織の削除

組織のアカウントを削除する前に

アカウントを削除する前に、以下を確認することが重要です。

  • アカウントがスタンドアロンアカウントとして動作するために必要な情報を持っている場合に限り、組織からアカウントを削除できます。AWS Organizations コンソール、API、AWS CLI コマンドを使用して組織内にアカウントを作成しても、スタンドアロンアカウントの必須情報がすべて自動的に収集されるわけではありません。スタンドアロンとして使用する各アカウントについて、サポートプランを選択し、必要な連絡先情報を入力および確認して、現在のお支払い方法を入力する必要があります。 AWSでは、このお支払い方法を使用して、アカウントが組織にアタッチされていない間に発生する請求対象 (AWS無料利用枠外) AWS のアクティビティに対して課金されます。

  • 組織内で作成されたアカウント (AWS Organizationsコンソールまたは CreateAccount API を使用して作成されたアカウント) を削除した後でも、作成されたアカウントは、作成された管理アカウントの当社との契約の条件によって管理され、(ii) 作成された管理アカウントは、作成されたアカウントによって実行されたアクションについて、共同で複数の責任を負うことになります。お客様と当社間の契約、その契約に基づく権利と義務は、当社が事前に同意しない限り、他に割り当てまたは転移することはできません。当社の同意を取得するには、https://aws.amazon.com/contact-us/ までお問い合わせください。

  • メンバーアカウントが組織を離れると、そのアカウントは組織のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。ただし、組織の管理アカウントは、引き続きデータにアクセスできます。再度組織に加わった場合、アカウントは再びデータにアクセスできます。

  • メンバーアカウントが組織を離れると、アカウントにアタッチされているすべてのタグが削除されます。

組織からアカウントを消去した場合の影響

組織からアカウントを削除する場合、そのアカウントに直接的な変更は適用されません。ただし、次の間接的な影響があります。

  • このアカウントは独自の料金を支払う責任を担い、アカウントにアタッチ済みの有効な支払い方法が必要となります。

  • アカウントのプリンシパルは、組織で が適用したポリシーの影響を受けないようになります。つまり、 によって課せられSCPsていた制限がなくなり、そのアカウントのユーザーとロールに以前よりも多くのアクセス権限が付与される場合があります。他の組織のポリシータイプを適用または処理できなくなりました。

  • 他のサービスとの統合が無効になる場合があります。たとえば AWS シングルサインオン が動作するには組織が必要であるため、AWS SSO をサポートする組織からアカウントを削除すると、そのアカウント内のユーザーが同サービスを使用できなくなります。

組織からのメンバーアカウントの削除

組織の管理アカウントにサインインすると、不要になったメンバーアカウントを組織から削除できます。これを行うには、以下の手順を完了します。こうした手順はメンバーアカウントのみに適用されます。管理アカウントを削除するには、組織を削除する必要があります

注記

メンバーアカウントが組織から削除されると、そのメンバーアカウントは組織契約の対象範囲ではなくなります。管理アカウントの管理者は、メンバーアカウントが必要に応じて新しい契約を用意できるように、メンバーアカウントを組織から削除する前にメンバーアカウントにこのことに連絡する必要があります。組織の有効な契約のリストは、AWS Artifact 組織契約で確認できます。

最小限必要なアクセス権限

組織から 1 つまたは複数のメンバーアカウントを削除するには、次のアクセス権限を使用して 管理アカウントの IAM ユーザーまたはロールとしてサインインする必要があります。

  • organizations:DescribeOrganization (コンソールのみ)

  • organizations:RemoveAccountFromOrganization

ステップ 5 でメンバーアカウントの IAM ユーザーまたはロールとしてサインインすることを選択した場合、そのユーザーまたはロールには以下のアクセス許可が必要となります。

  • organizations:DescribeOrganization (コンソールのみ).

  • organizations:LeaveOrganization – 組織の管理者は、このアクセス権限を削除するポリシーをアカウントに適用し、組織からアカウントを削除することを禁止できます。

  • IAMユーザーとしてサインインし、そのアカウントに支払い情報がない場合、その IAM ユーザーにはアクセス権限aws-portal:ModifyBillingと が必要ですaws-portal:ModifyPaymentMethods。 また、メンバーアカウントでは、請求への IAM ユーザーアクセスが有効になっている必要があります。有効になっていない場合は、『https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate』の「AWS Billing and Cost Management ユーザーガイドBilling and Cost Management コンソールへのアクセスのアクティベート」を参照してください。

AWS マネジメントコンソール

組織からメンバーアカウントを削除するには

  1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [アカウント] タブで、組織から削除するメンバーアカウントの横にあるチェックボックスをオンにします。アカウントは複数選択できます。

  3. [Remove account] を選択します。

  4. [Remove account] ダイアログボックスで、[Remove] を選択します。

    ダイアログボックスに、成功または失敗のステータスがアカウントごとに表示されます。

  5. AWS Organizations が 1 つ以上のアカウントを削除できなかった場合、その原因は、通常、アカウントがスタンドアロンで動作するのに必要な情報の一部が指定されていないためです。以下のステップを実行します。

    1. 失敗したアカウントのいずれかにサインインします。

    2. メンバーアカウントには、[Copy link] を選択してから、新しい incognito ブラウザウィンドウのアドレスバーに貼り付けてサインインすることをお勧めします。incognito ウィンドウを使用しないと、管理アカウントからサインアウトされ、このダイアログボックスに戻ることができなくなります。

    3. ブラウザを使用すると、このアカウントで実行していなかったステップを完了するためのサインアッププロセスが直接表示されます。示されたすべてのステップを実行します。これには次のものが含まれます。

      • 連絡先情報を指定する

      • 有効な支払い方法の指定

      • 電話番号を検証する

      • サポートプランオプションを選択する

    4. 最後のサインアップステップを完了すると、AWS によりブラウザがメンバーアカウントの AWS Organizations コンソールに自動的にリダイレクトされます。[Leave organization] を選択し、確認ダイアログボックスで、その選択を確認します。AWS Organizations コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。

AWS CLI, AWS API)

組織からメンバーアカウントを削除するには

メンバーアカウントを作成するには、次のいずれかのコマンドを使用します。

メンバーアカウントとしての組織からの登録解除

メンバーアカウントにサインインすると、アカウントを組織から削除できます。これを行うには、以下の手順を完了します。この方法で組織から管理アカウントの登録を解除することはできません。管理アカウントを削除するには、組織を削除する必要があります

重要

組織を離れる場合、組織の管理アカウントによってお客様に代わって受諾された組織契約の対象範囲ではなくなります。このような組織契約のリストは、AWS Artifact 組織契約で確認できます。組織を離れる前に、(必要に応じて、法務、プライバシー、またはコンプライアンスチームの支援を得て) 新しい契約を結ぶ必要があるかどうか判断してください。

注記

組織に対するアカウントのステータスは、表示できるコストと使用状況のデータに影響します。

  • メンバーアカウントが組織を離れてスタンドアロンアカウントになると、そのアカウントは組織のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。アカウントがアクセスできるのは、スタンドアロンアカウントとして生成されたデータのみです。

  • メンバーアカウントが組織 A を離れ組織 B に参加すると、そのアカウントは組織 A のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。アカウントがアクセスできるのは、組織 B のメンバーとして生成されたデータのみです。

  • アカウントが以前に属していた組織に再参加すると、そのアカウントはコストと使用状況データの履歴へのアクセスを再び許可されます。

最小限必要なアクセス権限

AWS 組織を登録解除する場合は、次のアクセス権限が必要です。

  • organizations:DescribeOrganization (コンソールのみ).

  • organizations:LeaveOrganization – 組織の管理者は、このアクセス権限を削除するポリシーをアカウントに適用し、組織からアカウントを削除することを禁止できます。

  • IAMユーザーとしてサインインし、そのアカウントに支払い情報がない場合、その IAM ユーザーにはアクセス権限aws-portal:ModifyBillingと が必要ですaws-portal:ModifyPaymentMethods。 また、メンバーアカウントでは、請求への IAM ユーザーアクセスが有効になっている必要があります。有効になっていない場合は、『https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate』の「AWS Billing and Cost Management ユーザーガイドBilling and Cost Management コンソールへのアクセスのアクティベート」を参照してください。

AWS マネジメントコンソール

メンバーアカウントとして組織を登録解除するには

  1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、またはメンバーアカウントでルートユーザーとしてサインインする (推奨されません) 必要があります。

    デフォルトでは、AWS Organizations を使用して作成されたメンバーアカウントでは root ユーザーのパスワードへのアクセス権はありません。必要に応じて、ルートユーザーとしてのメンバーアカウントへのアクセス の手順に従って root ユーザーのパスワードを回復します。

  2. [Organization overview] ページで、[Leave organization] を選択します。

  3. 次のいずれかのステップを実行します。

    • スタンドアロンアカウントとして動作するのに必要な情報すべてがそのアカウントに指定されている場合は、確認ダイアログボックスが表示されます。アカウントを削除するには、その選択を確認します。AWS Organizations コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。

    • 必要な情報の一部がアカウントにない場合は、次のステップを実行します。

      1. 追加のステップをいくつか完了する必要があることを示すダイアログボックスが表示されます。リンクをクリックします。

      2. 示されたすべてのサインアップステップを実行します。これには次のものが含まれます。

        • 連絡先情報を指定する

        • 有効な支払い方法の指定

        • 電話番号を検証する

        • サポートプランオプションを選択する

      3. サインアッププロセスが完了したことを示すダイアログボックスが表示されたら、[Leave organization] を選択します。

      4. 確認のダイアログボックスが表示されます。アカウントを削除するには、その選択を確認します。AWS Organizations コンソールの [Getting Started] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。

  4. アカウントへのアクセスを許可する IAM ロールを組織から削除します。

    重要

    アカウントが組織で作成された場合、組織の管理アカウントによるアクセスを有効にする アカウントの Organizations ロールIAMが自動的に作成されます。参加するようにアカウントが招待された場合、このようなロールは Organizations によって自動作成されませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからのこのアクセスを終了するには、この IAM ロールを手動で削除する必要があります。

AWS CLI, AWS API

メンバーアカウントとして組織を登録解除するには

組織を登録解除するには、次のいずれかのコマンドを使用します。