从组织中移除成员账户

登录组织的管理账户后，您可以从组织中移除不再需要的成员账户。为此，请完成以下过程。以下过程仅适用于成员账户。要移除管理账户，您必须删除组织。

注意

如果从组织中删除成员账户，则该成员账户将不再由组织协议所涵盖。管理账户管理员应在从组织中删除成员账户之前将此信息传达给成员账户，以便成员账户可以在必要时添加新协议。有效的组织协议列表可在 AWS Artifact 控制台的 AWS Artifact Organization Agreements (Amazon Artifact 组织协议) 页面中查看。

最小权限

要从您的组织中移除一个或多个成员账户，您必须以管理账户中的用户或角色身份登录并且必须拥有以下权限：

• organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

• organizations:RemoveAccountFromOrganization

如果您选择在第 5 步中以成员账户中的用户或角色身份登录，则该用户或角色必须拥有以下权限：

• organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要。

• organizations:LeaveOrganization – 请注意，组织管理员可以将删除此权限的策略应用到您的账户，从而阻止您从组织中删除自己的账户。

• 如果您以 IAM 用户身份登录并且账户缺少付款信息，则用户必须具有 aws-portal:ModifyBilling 和 aws-portal:ModifyPaymentMethods 权限（如果账户尚未迁移到精细权限）或 payments:CreatePaymentInstrument 和 payments:UpdatePaymentPreferences 权限（如果账户已迁移到精细权限）。此外，成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限，请参阅《AWS Billing 用户指南》中的激活对账单和成本管理控制台的访问权。

AWS Management Console

从组织中删除成员账户

1. 登录到 AWS Organizations 控制台。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（不推荐）。

2. 在AWS 账户页面上，找到并选中要从组织中删除的每个成员账户旁的复选框 。您可以导航 OU 层次结构，或启用 View AWS 账户 only (仅限查看亚马逊云科技账户) 来查看没有 OU 结构的账户的平面列表。如果您有很多账户，您可能需要在列表底部选择 Load more accounts in 'ou-name' (加载使用“OU 名称”的更多账户) 以查找要移动的所有账户。

   在AWS 账户页面上，找到并选中要从组织中删除的成员账户的名称。您可能需要展开 OU（选择 ）以查找所需的账户。

3. 选择 Actions (操作)，然后在AWS 账户下，选择 Remove from organization (从组织中删除)。

4. 在 Remove account 'account-name' (#account-id-num) from organization? (是否从组织中删除账户“账户名称”(#account-id-num)？) 对话框中，选择 Remove account (删除账户)。

5. 如果 AWS Organizations 无法删除一个或多个账户，通常是因为您没有提供账户作为独立账户运行所需的全部信息。执行以下步骤：

   1. 登录失败的账户。建议您通过选择 Copy link (复制链接)，然后将它粘贴在新的无痕浏览器窗口的地址栏中来登录成员账户。如果您未使用无痕窗口，则您已注销管理账户，并且无法导航回此对话框。

   2. 此浏览器会将您转至注册过程以完成此账户缺失的任何步骤。完成显示的所有步骤。步骤可能包括：

      • 提供联系人信息

      • 提供有效的付款方式

      • 验证电话号码

      • 选择支持计划选项

   3. 在完成注册过程的最后一步后，AWS 会自动将您的浏览器重定向至成员账户的 AWS Organizations 控制台。选择 Leave organization，然后在确认对话框中确认您的选择。系统将您重定向到 控制台的 Getting StartedAWS Organizations 页面，在其中可以查看您的账户加入其他组织的待处理邀请。

   4. 从组织中删除授予访问您账户的权限的 IAM 角色。

      重要

      如果您的账户是在组织中创建的，Organizations 会在该账户中自动创建一个 IAM 角色，以允许组织的管理账户进行访问。如果该账户被邀请加入，则 Organizations 不会自动创建此类角色，但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下，当您从组织中删除账户时，任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限，则必须手动删除此 IAM 角色。有关如何删除角色的信息，请参阅《IAM 用户指南》中的删除角色或实例配置文件。

AWS CLI & AWS SDKs

从组织中删除成员账户

您可以使用以下命令之一删除成员账户：

• AWS CLI：remove-account-from-organization

  $ aws organizations remove-account-from-organization \
      --account-id 123456789012

  如果成功，此命令不会产生任何输出。

• AWS SDK：RemoveAccountFromOrganization

从组织中删除成员账户后，请确保从组织中删除授予您账户访问权限的 IAM 角色。

重要

如果您的账户是在组织中创建的，Organizations 会在该账户中自动创建一个 IAM 角色，以允许组织的管理账户进行访问。如果该账户被邀请加入，则 Organizations 不会自动创建此类角色，但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下，当您从组织中删除账户时，任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限，则必须手动删除此 IAM 角色。有关如何删除角色的信息，请参阅《IAM 用户指南》中的删除角色或实例配置文件。

成员账户也可以使用 leave-organization 来移除自己。有关更多信息，请参阅成员账户离开组织。