Removendo uma conta de membro de uma organização com AWS Organizations - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Removendo uma conta de membro de uma organização com AWS Organizations

A remoção de uma conta-membro não encerra a conta, mas remove a conta-membro da organização. A antiga conta de membro se torna autônoma Conta da AWS que não é mais gerenciado por AWS Organizations.

Em seguida, a conta não estará mais sujeita a nenhuma política e será responsável por seus próprios pagamentos de contas. A conta de gerenciamento da organização não é mais cobrada por nenhuma despesa acumulada pela conta após sua remoção da organização.

Considerações

IAMas funções de acesso criadas pela conta de gerenciamento não são excluídas automaticamente

Quando você remove uma conta de membro da organização, qualquer IAM função criada para permitir o acesso pela conta de gerenciamento da organização não é excluída automaticamente. Se você quiser encerrar esse acesso da conta de gerenciamento da antiga organização, deverá excluir manualmente a IAM função. Para obter informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Guia do IAM usuário.

Você pode remover uma conta da sua organização somente se a conta tiver as informações necessárias para operar como uma conta independente.

Você pode remover uma conta de sua organização somente se a conta tem as informações necessárias para operar como uma conta autônoma. Quando você cria uma conta em uma organização usando o AWS Organizations consoleAPI, ou AWS CLI comandos, todas as informações exigidas de contas autônomas não são coletadas automaticamente.

Para cada conta que você deseja tornar independente, você deve escolher um plano de suporte, fornecer e verificar as informações de contato necessárias e fornecer uma forma de pagamento atual. AWS usa a forma de pagamento para cobrar por qualquer cobrança (não AWS Nível gratuito) AWS atividade que ocorre enquanto a conta não está vinculada a uma organização. Para remover uma conta que ainda não tem essas informações, siga as etapas em Sair de uma organização a partir de uma conta de membro com AWS Organizations.

Você deve esperar até pelo menos sete dias após a criação da conta

Para remover uma conta que você criou na organização, você deve aguardar pelo menos sete dias após a criação da conta. As contas convidadas não estão sujeitas a esse período de espera.

O proprietário da conta que sai se torna responsável por todos os novos custos acumulados

No momento em que a conta sai com sucesso da organização, o proprietário do Conta da AWS torna-se responsável por todos os novos AWS custos acumulados e o método de pagamento da conta é usado. A conta de gerenciamento da organização não é mais responsável.

A conta não pode ser uma conta de administrador delegado para nenhum AWS serviço habilitado para a organização

A conta que você deseja remover não deve ser uma conta de administrador delegado para nenhuma AWS serviço habilitado para sua organização. Se a conta for um administrador delegado, você deve primeiro alterar a conta de administrador delegado para outra conta que esteja permanecendo na organização. Para obter mais informações sobre como desativar ou alterar a conta de administrador delegado de um AWS serviço, consulte a documentação desse serviço.

A conta não tem mais acesso aos dados de custo e uso

Quando uma conta membro deixa uma organização, essa conta deixa de ter acesso aos dados de custo e uso no período quando a conta era membro da organização. No entanto, a conta de gerenciamento da organização ainda pode acessar os dados. Se reentrar na organização, a conta poderá acessar novamente esses dados.

As tags anexadas à conta são excluídas

Quando uma conta-membro sai de uma organização, todas as tags anexadas à conta são excluídas.

Os diretores da conta não são mais afetados por nenhuma política da organização

As entidades primárias da conta não são mais afetadas pelas políticas que se aplicavam na organização. Isso significa que as restrições SCPs impostas por desapareceram e que os usuários e funções na conta podem ter mais permissões do que tinham antes. Outros tipos de política da organização não podem mais ser aplicados ou processados.

A conta não está mais coberta pelos contratos da organização

Se uma conta-membro for removida de uma organização, ela não será mais coberta pelos contratos da organização. Os administradores das contas de gerenciamento deverão informar às contas-membro antes de removê-las da organização, para que elas possam colocar novos contratos em vigor, se necessário. Uma lista de acordos organizacionais ativos pode ser visualizada no AWS Artifact console no AWS ArtifactPágina de acordos organizacionais.

A integração com outros serviços pode estar desativada

A integração com outros serviços pode ser desativada. Se você remover uma conta de uma organização que tenha integração com um AWS serviço ativado, os usuários dessa conta não podem mais usar esse serviço.

Remover uma conta de membro de uma organização

Quando faz login na conta de gerenciamento da organização, você pode remover contas-membro da organização que não são mais necessárias. Para fazer isso, conclua o seguinte procedimento. Este procedimento se aplica somente a contas-membro. Para remover a conta de gerenciamento, é necessário excluir a organização.

Permissões mínimas

Para remover uma ou mais contas-membro de sua organização, você deve fazer login como um usuário ou perfil na conta de gerenciamento com as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations

  • organizations:RemoveAccountFromOrganization

Se você optar por fazer login como um usuário ou perfil em uma conta-membro na etapa 5, esse usuário ou perfil deverá ter as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations.

  • organizations:LeaveOrganization – observe que o administrador da organização pode aplicar uma política para a sua conta que remove essa permissão, impedindo que você remova sua conta da organização.

  • Se você fizer login como IAM usuário e a conta não tiver informações de pagamento, o usuário deverá ter aws-portal:ModifyPaymentMethods permissões aws-portal:ModifyBilling e permissões (se a conta ainda não tiver migrado para permissões refinadas) OU payments:CreatePaymentInstrument permissões (se a conta tiver migrado para payments:UpdatePaymentPreferences permissões refinadas). Além disso, a conta do membro deve ter o acesso IAM do usuário ao faturamento ativado. Se isso ainda não estiver ativado, consulte Ativação do acesso ao console de Billing and Cost Management no AWS Billing Guia do usuário.

AWS Management Console
Para remover uma conta-membro da sua organização
  1. Faça login no AWS Organizations console. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. Sobre o Contas da AWSpágina, encontre e escolha a caixa de seleção ao Blue checkmark icon indicating confirmation or completion of a task. lado de cada conta de membro que você deseja remover da sua organização. Você pode navegar na hierarquia da OU ou habilitar Exibir Contas da AWS apenas para ver uma lista simples de contas sem a estrutura da OU. Se você tiver muitas contas, talvez seja necessário escolher Load more accounts in 'ou-name' (Carregar mais contas em ‘nome-uo’) no fim da lista para encontrar todas que você deseja mover.

    Sobre o Contas da AWSpágina, encontre e escolha o nome da conta de membro que você deseja remover da sua organização. Talvez seja necessário expandir OUs (escolher a Gray cloud icon representing cloud computing or storage services. ) para encontrar a conta que você deseja.

  3. Escolha Ações e, em seguida, em Conta da AWS, escolha Remover da organização.

  4. Na seção Remover conta “nome da conta” (# account-id-num) da organização? caixa de diálogo, escolha Remover conta.

  5. If (Se) AWS Organizations falha ao remover uma ou mais contas, normalmente é porque você não forneceu todas as informações necessárias para que a conta funcione como uma conta independente. Siga estas etapas:

    1. Faça login na conta com falha. Recomendamos fazer login na conta-membro escolhendo Copy link (Copiar link) e colando-o na barra de endereço de uma nova janela de navegação incógnito. Se você não ver o link Copiar, use este link para acessar o link Inscrever-se em AWSpágina e conclua as etapas de registro que faltam. Se você não usar uma janela incognito, será desconectado da conta de gerenciamento e não poderá navegar de volta para essa caixa de diálogo.

    2. O navegador leva você diretamente para o processo de cadastramento para concluir as etapas ausentes para essa conta. Conclua todas as etapas apresentadas. Isso pode incluir o seguinte:

      • Fornecer informações de contato

      • Fornecer um método de pagamento válido

      • Verificar o número de telefone

      • Selecionar uma opção de plano de suporte

    3. Depois de concluir a última etapa de inscrição, AWS redireciona automaticamente seu navegador para o AWS Organizations console para a conta do membro. Escolha Leave organization e, em seguida, confirme sua escolha na caixa de diálogo de confirmação. Você será redirecionado para a página de introdução do AWS Organizations console, onde você pode ver todos os convites pendentes da sua conta para participar de outras organizações.

    4. Remova da organização as IAM funções que concedem acesso à sua conta.

      Importante

      Se sua conta foi criada na organização, a Organizations criou automaticamente uma IAM função na conta que permitiu o acesso pela conta de gerenciamento da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você quiser encerrar esse acesso da conta de gerenciamento da antiga organização, deverá excluir manualmente essa IAM função. Para obter informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Guia do IAM usuário.

AWS CLI & AWS SDKs
Para remover uma conta-membro da sua organização

Você pode usar um dos seguintes comandos para remover uma conta-membro:

Depois que a conta do membro for removida da organização, certifique-se de remover as IAM funções que concedem acesso à sua conta da organização.

Importante

Se sua conta foi criada na organização, a Organizations criou automaticamente uma IAM função na conta que permitiu o acesso pela conta de gerenciamento da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você quiser encerrar esse acesso da conta de gerenciamento da antiga organização, deverá excluir manualmente essa IAM função. Para obter informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Guia do IAM usuário.

Em vez disso, as contas-membro podem remover a si mesmas utilizando leave-organization. Para obter mais informações, consulte Sair de uma organização a partir de uma conta de membro com AWS Organizations.