從成員帳戶離開組織 - AWS Organizations

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從成員帳戶離開組織

登入某個成員帳戶時,您可以從其組織移除該帳戶。若要這麼做,請執行下列作業:此程序僅適用於成員帳戶。管理帳戶無法使用此技術來離開組織。若要移除管理帳戶,您必須刪除組織

注意

帳戶與組織的狀態,會影響顯示的成本和用量資料:

  • 如果成員帳戶離開組織而成為獨立帳戶,則帳戶一旦是組織之成員就無法再存取時間範圍內的成本和用量資料。帳戶只能存取做為獨立帳戶時所產生的資料。

  • 如果成員帳戶離開組織 A 而加入組織 B,則此帳戶就無法再存取其做為組織 A 成員之時間範圍內來自組織 A 的成本和用量資料。帳戶只能存取做為組織 B 成員時所產生的資料。

  • 如果帳戶重新加入先前所屬的組織,此帳戶會重新獲得對其過去成本與使用狀況資料的存取權。

重要

如果您離開某個組織,您將不再受到組織的管理帳戶代表您接受的組織協議的涵蓋。您可以在 AWS Artifact Organization 協議頁面的 AWS Artifact 主控台中,檢視這些組織協議的清單。離開組織之前,您應該判斷 (適當時,在您的法律、隱私權或合規團隊的協助下) 是否有必要設立新的協議。

最低許可

若要離開 AWS 組織,您必須擁有以下許可:

  • organizations:DescribeOrganization – 僅在使用 Organizations 主控台時才需要

  • organizations:LeaveOrganization – 請注意,組織管理員可以套用會移除此許可的政策到您的帳戶,以防止您從您的組織移除帳戶。

  • 如果您以 IAM 使用者的身分登入,而且帳戶缺少付款資訊,則使用者必須擁有 aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods 許可 (若該帳戶尚未遷移至精細許可) 或 payments:CreatePaymentInstrumentpayments:UpdatePaymentPreferences 許可 (若該帳戶已遷移至精細許可)。此外,成員帳戶必須已啟用 IAM 使用者對帳單的存取權。如果尚未啟用,請參閱AWS Billing使用者指南中的啟用帳單和成本管理主控台的存取權

AWS Management Console
若要從成員帳戶離開組織

  1. AWS Organizations 主控台,登入 AWS Organizations 主控台。您必須以 IAM 使用者的身分登入,擔任 IAM 角色,或以成員帳戶中的根使用者身分登入 (不建議)。

    依預設,在使用 AWS Organizations 建立的成員帳戶中,您沒有根使用者密碼的存取。如果必要,請遵循以根帳戶使用者身分存取成員帳戶的步驟來復原根使用者密碼。

  2. 組織儀表板頁面上,選擇離開此組織

  3. 確認離開組織?對話方塊中,選擇離開組織。收到提示時,確認選擇移除帳戶。確認後,系統會將您重新導向至 AWS Organizations 主控台的入門頁面,您可以在其中檢視任何擱置邀請,以便帳戶加入其他組織的。

    如果顯示您目前無法離開組織訊息,表示您的帳戶沒有以獨立帳戶運作所需的完整資訊。如果是這種情況,請繼續下一個步驟。

  4. 如果確認離開組織?對話方塊顯示您目前無法離開組織訊息,請選擇完成帳戶註冊步驟連結。

  5. 註冊 AWS 頁面上,輸入成為獨立帳戶所需的所有必要資訊。可能包括以下資訊類型:

    • 聯絡人姓名及地址

    • 有效的付款方式

    • 電話號碼驗證

    • 支援計劃選項

  6. 看到說明註冊程序完成的對話方塊時,請選擇 Leave organization (離開組織)

    出現確認對話方塊。確認選擇移除帳戶。系統會將您重新導向至 AWS Organizations 主控台的入門頁面,您可以在其中檢視任何擱置邀請,以便帳戶加入其他組織的。

  7. 從組織移除授予帳戶存取權的 IAM 角色。

    重要

    如果您的帳戶是在組織中建立的,則 Organizations 會自動在帳戶中建立 IAM 角色,使組織的管理帳戶具有存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除此 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 IAM 使用者指南中的刪除角色或執行個體設定檔

AWS CLI & AWS SDKs
以成員帳戶的身分離開組織

您可以使用下列其中一項命令來離開組織:

  • AWS CLI: leave-organization

    下列範例會造成使用其憑證執行命令的帳戶離開組織。

    $ aws organizations leave-organization

    此命令成功後就不會產生輸出。

  • AWS SDKs: LeaveOrganization

成員帳戶離開組織後,請確保從組織移除授予此帳戶存取權的 IAM 角色。

重要

如果您的帳戶是在組織中建立的,則 Organizations 會自動在帳戶中建立 IAM 角色,使組織的管理帳戶具有存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除此 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 IAM 使用者指南中的刪除角色或執行個體設定檔

管理帳戶中的使用者也可以改用 remove-account-from-organization 來移除成員帳戶。如需更多詳細資訊,請參閱 從組織移除成員帳戶