從組織移除成員帳戶 AWS Organizations - AWS Organizations
考量事項從組織移除成員帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從組織移除成員帳戶 AWS Organizations

移除成員帳戶並不會關閉帳戶,而是會從組織移除成員帳戶。以前的會員帳戶成為獨立帳戶 AWS 帳戶 不再由管理 AWS Organizations.

之後,該帳戶不再受任何政策的約束,並負責自己的帳單支付。從組織移除帳戶後,該組織的管理帳戶不會再針對該帳戶所累積的任何費用收費。

考量事項

IAM管理帳戶建立的存取角色不會自動刪除

當您從組織中移除成員帳戶時,不會自動刪除為啟用組織管理帳戶存取權而建立的任何IAM角色。如果您想要從前一個組織的管理帳戶終止此存取權,則必須手動刪除IAM角色。如需有關如何刪除角色的資訊,請參閱《IAM使用指南》中的〈刪除角色或執行個體設定檔

只有當帳戶具有作為獨立帳戶操作所需的資訊時,您才可以從組織中移除帳戶。

只有在帳戶具有讓它以獨立帳戶形式運作所需的資訊時,您才能從組織移除帳戶。當您在組織中使用 AWS Organizations 主控台API,或 AWS CLI 命令,會自動收集獨立帳戶所需的所有信息。

對於您要獨立設定的每個帳戶,您都必須選擇支援方案、提供並驗證所需的聯絡資訊,以及提供目前的付款方式。 AWS 使用付款方式來收取任何可計費的費用(不是 AWS 免費方案) AWS 帳戶未附加至組織時發生的活動。若要移除尚未取得此資訊的帳戶,請依照 從成員帳戶離開組織 AWS Organizations 中的步驟執行。

您必須等到帳戶創建後至少七天

若要移除您在組織中建立的帳戶,您必須等到帳戶建立後至少七天。受邀的帳戶不受此等待期限的限制。

離開帳戶的擁有者負責應計的所有新成本

目前,該帳戶成功離開組織,該所有者 AWS 帳戶 對所有新的負責 AWS 應計成本,並使用帳戶的付款方式。組織的管理帳戶不再負責。

該帳戶不能是任何人的委託管理員帳戶 AWS 為組織啟用的服務

您要移除的帳戶不得是任何人的委派系統管理員帳戶 AWS 為您的組織啟用服務。如果帳戶是委派的系統管理員,您必須先將委派的管理員帳戶變更為組織中剩餘的另一個帳戶。如需如何停用或變更的委派系統管理員帳戶的相關資訊 AWS 服務,請參閱該服務的文檔。

帳戶無法再存取費用和使用情況資料

當成員帳戶離開組織時,該帳戶就不再能夠帳戶存取作為組織成員期間的成本和使用狀況資料。不過,組織的管理帳戶仍然可以存取資料。如果帳戶重新加入組織,帳戶便能再次存取資料。

已刪除附加至帳號的標籤

當成員帳戶離開組織時,會刪除連接至該帳戶的所有標籤。

帳戶中的主參與者不再受任何組織策略的影響

帳戶中的委託人不再受組織中套用的任何政策的影響。這表示帳戶中的SCPs使用者和角色可能擁有比以前更多的權限。其他組織政策類型無法再強制執行或處理。

該帳戶不再受組織協議的涵蓋範圍

如果成員帳戶被從組織中移除,該成員帳戶即不再涵蓋於組織協議中。管理帳戶管理員應在從組織移除成員帳戶之前,與成員帳戶溝通此事,以便在必要時成員帳戶可以簽訂新的協議。使用中的組織協定清單可在 AWS Artifact 控制台上 AWS Artifact 「組織協定」頁面。

與其他服務的整合可能已停用

與其他服務的整合可能會停用。如果您從已整合的組織中移除帳號 AWS 啟用服務時,該帳戶中的使用者將無法再使用該服務。

從組織移除成員帳戶

登入組織的管理帳戶時,您可以從組織移除您不再需要的成員帳戶。若要這麼做,請執行下列作業:此程序僅適用於成員帳戶。若要移除管理帳戶,您必須刪除組織

最低許可

若要從組織中移除一個或多個成員帳戶,您必須以管理帳戶中具有以下許可的使用者或角色身分登入:

  • organizations:DescribeOrganization – 僅在使用 Organizations 主控台時才需要

  • organizations:RemoveAccountFromOrganization

如果您在步驟 5 中選擇以成員帳戶中的使用者或角色的身分登入,則該使用者或角色必須擁有以下許可:

  • organizations:DescribeOrganization – 僅在使用 Organizations 主控台時才需要

  • organizations:LeaveOrganization – 請注意,組織管理員可以套用會移除此許可的政策到您的帳戶,以防止您從您的組織移除帳戶。

  • 如果您以IAM使用者身分登入,但帳戶缺少付款資訊,則該使用者必須具有aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods權限 (如果帳戶尚未遷移至細微的權限) OR payments:CreatePaymentInstrumentpayments:UpdatePaymentPreferences權限 (如果帳戶已移轉至細微的權限)。此外,會員帳戶必須具有啟用計費功能的用IAM戶訪問權限。如果尚未啟用此功能,請參閱 「啟用 Billing and Cost Management 主控台的存取權」。AWS Billing 用戶指南

AWS Management Console
從組織移除成員帳戶

  1. 登入到 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色,或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。

  2. 在「」 AWS 帳戶頁面上,尋找並選擇您要從組織中移除的每個成員帳戶 Blue checkmark icon indicating confirmation or completion of a task. 旁邊的核取方塊。您可以瀏覽 OU 階層或啟用檢視 AWS 帳戶 只會看到沒有 OU 結構的帳戶一般清單。如果您有許多帳戶,您可能需要在清單底部選擇載入更多採用 'ou-name' 的帳戶,以尋找您想要移動的所有內容。

    在「」 AWS 帳戶頁面上,尋找並選擇您要從組織中移除的成員帳戶名稱。您可能必須展開 OUs (選擇 Gray cloud icon representing cloud computing or storage services. ) 才能找到您想要的帳戶。

  3. 選擇「動作」,然後在 AWS 帳戶」下,選擇「從組織移除」。

  4. 組織中刪除帳戶「帳戶名」(# account-id-num? 」對話方塊中選擇「移除帳戶」。

  5. If AWS Organizations 無法移除一或多個帳戶,這通常是因為您尚未提供所有必要的資訊,讓該帳戶作為獨立帳戶運作。執行以下步驟:

    1. 登入失敗的帳戶。我們建議您透過選擇 Copy link (複製連結),然後將連結貼到新無痕瀏覽器視窗的網址列來登入成員帳戶。如果您沒有看到「複製」連結,請使用此連結前往「註冊」 AWS頁面並完成缺少的註冊步驟。如果您不使用無痕視窗,系統會將您從管理帳戶登出,並且將無法瀏覽回此對話方塊。

    2. 您的瀏覽器會帶領您直接前往註冊程序,以完成此帳戶遺漏的任何步驟。完成提示的所有步驟。它們可能包含下列項目:

      • 提供聯絡資訊

      • 提供有效的付款方法

      • 驗證電話號碼

      • 選取支援計劃選項

    3. 完成最後一個註冊步驟後, AWS 自動將您的瀏覽器重定向到 AWS Organizations 成員帳戶的控制台。選擇 Leave organization (離開組織),然後在確認對話方塊中確認您的選擇。系統會將您重新導向至的 [開始使用] 頁面 AWS Organizations 控制台,您可以在其中查看帳戶加入其他組織的任何待處理邀請。

    4. 從組織中移除授與帳戶存取權的IAM角色。

      重要

      如果您的帳戶是在組織中建立的,則「組織」會在帳戶中自動建立IAM角色,Organizations 啟用組織的管理帳戶存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要從前一個組織的管理帳戶終止此存取權,則必須手動刪除此IAM角色。如需有關如何刪除角色的資訊,請參閱《IAM使用指南》中的〈刪除角色或執行個體設定檔

AWS CLI & AWS SDKs
從組織移除成員帳戶

您可以使用下列其中一項命令來移除成員帳戶:

從組織中移除成員帳戶後,請務必從組織中移除授與您帳戶存取權的IAM角色。

重要

如果您的帳戶是在組織中建立的,則「組織」會在帳戶中自動建立IAM角色,Organizations 啟用組織的管理帳戶存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要從前一個組織的管理帳戶終止此存取權,則必須手動刪除此IAM角色。如需有關如何刪除角色的資訊,請參閱《IAM使用指南》中的〈刪除角色或執行個體設定檔

會員帳戶可以使用 leave-organization 來移除自己。如需詳細資訊,請參閱從成員帳戶離開組織 AWS Organizations