Remover uma conta-membro de sua organização - AWS Organizations

Remover uma conta-membro de sua organização

Parte do gerenciamento de contas em uma organização é remover contas-membro que não são mais necessárias. Esta página descreve o que você precisa saber antes de remover uma conta e fornece os procedimentos para remover contas.

Para obter informações sobre como remover a conta de gerenciamento, consulte Exclusão da uma organização removendo a conta de gerenciamento.

Antes de remover uma conta de uma organização

Antes de remover uma conta, é importante saber o seguinte:

  • Você pode remover uma conta de sua organização somente se a conta tem as informações necessárias para operar como uma conta autônoma. Ao criar uma conta em uma organização usando o console do AWS Organizations, a API ou os comandos da AWS CLI, todas as informações exigidas das contas independentes não são coletadas automaticamente. Para cada conta que você desejar tornar autônoma, é necessário escolher um plano de suporte, fornecer e confirmar as informações de contato exigidas, bem como informar o método de pagamento atual. A AWS usa o método de pagamento para cobrar qualquer atividade faturável (fora do nível gratuito da AWS) da AWS que ocorra enquanto a conta não estiver anexada a uma organização.

  • Para remover uma conta que você criou na organização, você deve aguardar pelo menos sete dias após a criação da conta. As contas convidadas não estão sujeitas a esse período de espera.

  • No momento em que a conta sai com sucesso da organização, o proprietário da Conta da AWS torna-se responsável por todos os novos custos acumulados da AWS, e o método de pagamento da conta é usado. A conta de gerenciamento da organização não é mais responsável.

  • A conta que você deseja remover não deve ser uma conta de administrador delegado para qualquer serviço da AWS habilitado para sua organização. Se a conta for um administrador delegado, você deve primeiro alterar a conta de administrador delegado para outra conta que esteja permanecendo na organização. Para obter mais informações sobre como desabilitar ou alterar a conta de administrador delegado para um serviço da AWS, consulte a documentação desse serviço

  • Mesmo depois da remoção das contas criadas (contas criadas usando o console do AWS Organizations ou a API CreateAccount) de uma organização, (i) as contas criadas serão regidas pelos termos de criação do contrato da conta de gerenciamento conosco e (ii) a criação da conta de gerenciamento permanecerá conjunta e solidariamente responsável por quaisquer ações executadas pelas contas criadas. Os contratos dos clientes conosco e os direitos e obrigações sob esses acordos não podem ser atribuídos ou transferidos sem nosso consentimento prévio. Para obter o nosso consentimento, entre em contato conosco em https://aws.amazon.com/contact-us/.

  • Quando uma conta membro deixa uma organização, essa conta deixa de ter acesso aos dados de custo e uso no período quando a conta era membro da organização. No entanto, a conta de gerenciamento da organização ainda pode acessar os dados. Se reentrar na organização, a conta poderá acessar novamente esses dados.

  • Quando uma conta-membro sai de uma organização, todas as tags anexadas à conta são excluídas.

Efeitos de remover uma conta de uma organização

Quando você remove uma conta de uma organização, nenhuma alteração direta é feita na conta. No entanto, os seguintes efeitos indiretos ocorrem:

  • A conta agora é responsável por pagar suas próprias cobranças e deve ter um método de pagamento válido anexado.

  • As entidades primárias da conta não são mais afetadas pelas políticas que se aplicavam na organização. Isso significa que as restrições impostas por SCPs são removidas, e os usuários e as funções da conta podem ter mais permissões do que tinham antes. Outros tipos de política da organização não podem mais ser aplicados ou processados.

  • Se usar a chave de condição aws:PrincipalOrgID em qualquer política para restringir o acesso apenas aos usuários e funções das Contas da AWS de sua organização, você deve revisar e, possivelmente, atualizar essas políticas antes de remover a conta-membro. Se você não atualizar as políticas, os usuários e funções na conta podem perder o acesso aos recursos quando a conta sair da organização.

  • A integração com outros serviços pode ser desativada. Se você remover uma conta de uma organização que tem integração com um serviço da AWS, os usuários dessa conta não poderão mais usar esse serviço.

Remover uma conta-membro de sua organização

Quando faz login na conta de gerenciamento da organização, você pode remover contas-membro da organização que não são mais necessárias. Para fazer isso, conclua o seguinte procedimento. Estes procedimentos aplicam-se somente às contas-membro. Para remover a conta de gerenciamento, é necessário excluir a organização.

nota

Se uma conta-membro for removida de uma organização, ela não será mais coberta pelos contratos da organização. Os administradores das contas de gerenciamento deverão informar às contas-membro antes de removê-las da organização, para que elas possam colocar novos contratos em vigor, se necessário. Uma lista de contratos ativos da organização pode ser visualizada no console do AWS Artifact na página AWS Artifact Organization Agreements (Contratos da organização do AWS Artifact).

Permissões mínimas

Para remover uma ou mais contas-membro de sua organização, você deve fazer login como um usuário ou função do IAM na conta de gerenciamento com as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations

  • organizations:RemoveAccountFromOrganization

Se você escolher fazer login como um usuário ou função do IAM em uma conta-membro na etapa 6, esse usuário ou função deverá ter as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations.

  • organizations:LeaveOrganization – observe que o administrador da organização pode aplicar uma política para a sua conta que remove essa permissão, impedindo que você remova sua conta da organização.

  • Se você fizer login como usuário do IAM e estiverem faltando informações de pagamento da conta, o usuário do IAM precisará ter as permissões aws-portal:ModifyBilling e aws-portal:ModifyPaymentMethods. Além disso, a conta-membro precisa ter acesso de usuário do IAM ao faturamento habilitado. Se ele ainda não estiver habilitado, consulte Ativar o acesso ao console do Billing and Cost Management no Guia do usuário do AWS Billing.

AWS Management Console

Para remover uma conta-membro da sua organização

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, encontre e escolha a caixa de seleção próxima à conta-membro que você deseja remover de sua organização. Você pode navegar na hierarquia da UO ou habilitar View Contas da AWS only (Exibir apenas Contas da AWS) para ver uma lista simples de contas sem a estrutura da UO. Se você tiver muitas contas, talvez seja necessário escolher Load more accounts in 'ou-name' (Carregar mais contas em ‘nome-uo’) no fim da lista para encontrar todas que você deseja mover.

    Na página Contas da AWS, encontre e escolha o nome próximo à conta-membro que você deseja remover de sua organização. Talvez seja necessário expandir as UOs (escolha ) para encontrar a conta que você deseja.

  3. Selecione Actions (Ações), então, em Conta da AWS, escolha Remove from organization (Remover da organização).

  4. No diálogo Remove account 'account-name' (#account-id-num) from organization? (Remover conta 'account-name'(#account-id-num) da organização?, escolha Remove Account (Remover conta).

  5. Se o AWS Organizations não conseguir remover uma ou mais contas, isso será normal porque você não forneceu todas as informações necessárias para a conta funcionar como uma conta autônoma. Siga estas etapas:

    1. Faça login na conta com falha. Recomendamos fazer login na conta-membro escolhendo Copy link (Copiar link) e colando-o na barra de endereço de uma nova janela de navegação incógnito. Se você não usar uma janela incognito, será desconectado da conta de gerenciamento e não poderá navegar de volta para essa caixa de diálogo.

    2. O navegador leva você diretamente para o processo de cadastramento para concluir as etapas ausentes para essa conta. Conclua todas as etapas apresentadas. Isso pode incluir o seguinte:

      • Fornecer informações de contato

      • Fornecer um método de pagamento válido

      • Verificar o número de telefone

      • Selecionar uma opção de plano de suporte

    3. Depois que você conclui a última etapa do cadastramento, a AWS redireciona automaticamente o navegador para o console do AWS Organizations para a conta membro. Escolha Leave organization e, em seguida, confirme sua escolha na caixa de diálogo de confirmação. Você será redirecionado para a página Getting Started (Conceitos básicos) do console do AWS Organizations, onde você pode visualizar convites pendentes para a sua conta para ingressar em outras organizações.

AWS CLI & AWS SDKs

Para remover uma conta-membro da sua organização

Você pode usar um dos seguintes comandos para remover uma conta-membro:

Deixar uma organização como uma conta-membro

Quando faz login em uma conta-membro, você pode remover essa conta de sua organização. Para fazer isso, conclua o seguinte procedimento. A conta de gerenciamento não pode deixar a organização usando essa técnica. Para remover a conta de gerenciamento, é necessário excluir a organização.

A conta que você deseja remover não deve ser uma conta de administrador delegado para qualquer serviço da AWS habilitado para sua organização. Se a conta for um administrador delegado, você deve primeiro alterar a conta de administrador delegado para outra conta que esteja permanecendo na organização. Para obter mais informações sobre como desabilitar ou alterar a conta de administrador delegado para um serviço da AWS, consulte a documentação desse serviço

Importante

Se você deixar uma organização, você não está mais coberto pelos contratos da organização que foram aceitos em seu nome pela conta de gerenciamento da organização. Você pode ver uma lista desses contratos da organização no console do AWS Artifact, na página AWS Artifact Organization Agreements (Contratos da organização do AWS Artifact). Antes de deixar a organização, você deve determinar (com a ajuda da equipe jurídica, de privacidade ou de conformidade, se adequado) se é necessário ter novos contratos em vigor.

nota

O status de uma conta com uma organização afeta quais dados de custo e uso permanecem visíveis:

  • Se uma conta-membro deixar uma organização e se tornar uma conta autônoma, a conta deixará de ter acesso aos dados de custo e uso no período em que a conta era membro da organização. A conta tem acesso apenas aos dados gerados como uma conta autônoma.

  • Se uma conta-membro deixar a organização A para entrar na organização B, a conta deixará de ter acesso aos dados de custo e uso do período quando a conta era um membro da organização A. A conta terá acesso apenas aos dados gerados como membro da organização B.

  • Se uma conta for associada novamente a uma organização à qual pertencia anteriormente, a conta voltará a ter acesso aos dados de custos e uso históricos.

Permissões mínimas

Para deixar uma organização AWS você deve ter as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations.

  • organizations:LeaveOrganization – observe que o administrador da organização pode aplicar uma política para a sua conta que remove essa permissão, impedindo que você remova sua conta da organização.

  • Se você fizer login como usuário do IAM e estiverem faltando informações de pagamento da conta, o usuário do IAM precisará ter as permissões aws-portal:ModifyBilling e aws-portal:ModifyPaymentMethods. Além disso, a conta-membro precisa ter acesso de usuário do IAM ao faturamento habilitado. Se ele ainda não estiver habilitado, consulte Ativar o acesso ao console do Billing and Cost Management no Guia do usuário do AWS Billing.

AWS Management Console

Para deixar uma organização como uma conta-membro

  1. Faça login no console do AWS Organizations no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta-membro.

    Por padrão, você não tem acesso à senha do usuário raiz em uma conta de associado criada usando AWS Organizations. Se necessário, recupere a senha do usuário raiz seguindo as etapas em Acessar a conta-membro como usuário-raiz.

  2. Na página Organizations Dashboard (Painel do Organizations), escolha Leave organization (Sair da organização).

  3. Execute uma das seguintes etapas:

    • Se sua conta tiver todas as informações necessárias para operar como uma conta autônoma, uma caixa de diálogo de confirmação aparece. Confirme sua escolha para remover a conta. Você será redirecionado para a página Getting Started (Conceitos básicos) do console do AWS Organizations, onde você pode visualizar convites pendentes para a sua conta para ingressar em outras organizações.

    • Se a conta não tiver todas as informações necessárias, execute as seguintes etapas:

      1. Uma caixa de diálogo é exibida para explicar que você deve concluir algumas etapas adicionais. Clique no link.

      2. Conclua todas as etapas de cadastramento apresentadas. Isso pode incluir o seguinte:

        • Fornecer informações de contato

        • Fornecer um método de pagamento válido

        • Verificar o número de telefone

        • Selecionar uma opção de plano de suporte

      3. Quando for exibida a caixa de diálogo informando que o processo de cadastramento foi concluído, escolha Leave organization.

      4. Uma caixa de diálogo de confirmação é exibida. Confirme sua escolha para remover a conta. Você será redirecionado para a página Getting Started (Conceitos básicos) do console do AWS Organizations, onde você pode visualizar convites pendentes para a sua conta para ingressar em outras organizações.

  4. Remova as funções do IAM que concedem acesso à sua conta a partir da organização.

    Importante

    Se a conta foi criada na organização, o Organizations criou automaticamente uma função do IAM na conta que habilitou o acesso pela conta de gerenciamento da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você deseja terminar esse acesso a partir da conta de gerenciamento da antiga organização, exclua manualmente essa função do IAM. Para obter mais informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Guia do usuário do IAM.

AWS CLI & AWS SDKs

Para deixar uma organização como uma conta-membro

Você pode usar um dos seguintes comandos para deixar uma organização:

  • AWS CLI:leave-organization

    O exemplo a seguir faz com que a conta cujas credenciais são usadas para executar o comando saia da organização.

    $ aws organizations leave-organization

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS SDKs: LeaveOrganization