Como remover uma conta-membro de sua organização com o AWS Organizations - AWS Organizations
ConsideraçõesPara remover uma conta-membro de uma organização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como remover uma conta-membro de sua organização com o AWS Organizations

A remoção de uma conta-membro não encerra a conta, mas remove a conta-membro da organização. A conta do antigo membro se torna uma Conta da AWS autônoma que não é mais gerenciada pelo AWS Organizations.

Em seguida, a conta não estará mais sujeita a nenhuma política e será responsável por seus próprios pagamentos de contas. A conta gerencial da organização não é mais cobrada por nenhuma despesa acumulada pela conta após sua remoção da organização.

Considerações

Os perfis de acesso do IAM criados pela conta gerencial não são excluídas automaticamente

Quando você remove uma conta de membro da organização, qualquer perfil do IAM criado para permitir o acesso pela conta gerencial da organização não é excluído automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente o perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Guia do usuário do IAM.

Você pode remover uma conta de sua organização somente se a conta tem as informações necessárias para operar como uma conta autônoma

Você pode remover uma conta de sua organização somente se a conta tem as informações necessárias para operar como uma conta autônoma. Ao criar uma conta em uma organização usando o console do AWS Organizations, a API ou os comandos da AWS CLI, todas as informações exigidas das contas independentes não são coletadas automaticamente.

Para cada conta que você desejar tornar autônoma, é necessário escolher um plano de suporte, fornecer e confirmar as informações de contato exigidas, bem como informar o método de pagamento atual. A AWS usa o método de pagamento para cobrar qualquer atividade faturável (fora do nível gratuito da AWS) da AWS que ocorra enquanto a conta não estiver anexada a uma organização. Para remover uma conta que ainda não tem essas informações, siga as etapas em  Como sair de uma organização como uma conta de membro com o AWS Organizations.

Você deve aguardar pelo menos quatro dias após a criação da conta

Para remover uma conta que você criou na organização, você deve aguardar pelo menos quatro dias após a criação da conta. As contas convidadas não estão sujeitas a esse período de espera.

O proprietário da conta que sai se torna responsável por todos os novos custos acumulados

No momento em que a conta sai com sucesso da organização, o proprietário da Conta da AWS torna-se responsável por todos os novos custos acumulados da AWS, e o método de pagamento da conta é usado. A conta gerencial da organização não é mais responsável.

A conta que você deseja remover não deve ser uma conta de administrador delegado para qualquer serviço da AWS habilitado para sua organização

A conta que você deseja remover não deve ser uma conta de administrador delegado para qualquer serviço da AWS habilitado para sua organização. Se a conta for um administrador delegado, você deve primeiro alterar a conta de administrador delegado para outra conta que esteja permanecendo na organização. Para obter mais informações sobre como desabilitar ou alterar a conta de administrador delegado para um serviço da AWS, consulte a documentação desse serviço.

A conta não tem mais acesso aos dados de custo e uso

Quando uma conta membro deixa uma organização, essa conta deixa de ter acesso aos dados de custo e uso no período quando a conta era membro da organização. No entanto, a conta gerencial da organização ainda pode acessar os dados. Se reentrar na organização, a conta poderá acessar novamente esses dados.

As tags anexadas à conta são excluídas

Quando uma conta-membro sai de uma organização, todas as tags anexadas à conta são excluídas.

As entidades principais da conta não são mais afetadas por nenhuma política da organização

As entidades primárias da conta não são mais afetadas pelas políticas que se aplicavam na organização. Isso significa que as restrições impostas por SCPs são removidas, e os usuários e as funções da conta podem ter mais permissões do que tinham antes. Outros tipos de política da organização não podem mais ser aplicados ou processados.

A conta não está mais coberta pelos contratos da organização

Se uma conta-membro for removida de uma organização, ela não será mais coberta pelos contratos da organização. Os administradores das contas gerenciais deverão informar às contas-membro antes de removê-las da organização, para que elas possam colocar novos contratos em vigor, se necessário. Uma lista dos contratos organizacionais ativos pode ser visualizada no console do AWS Artifact, na página Contratos organizacionais do AWS Artifact.

A integração com outros serviços pode ser desabilitado

A integração com outros serviços pode ser desativada. Se você remover uma conta de uma organização que tem integração com um serviço da AWS, os usuários dessa conta não poderão mais usar esse serviço.

Para remover uma conta-membro de uma organização

Quando faz login na conta gerencial da organização, você pode remover contas-membro da organização que não são mais necessárias. Para fazer isso, conclua o seguinte procedimento. Este procedimento se aplica somente a contas-membro. Para remover a conta gerencial, é necessário excluir a organização.

Permissões mínimas

Para remover uma ou mais contas-membro de sua organização, você deve fazer login como um usuário ou perfil na conta gerencial com as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations

  • organizations:RemoveAccountFromOrganization

Se você optar por fazer login como um usuário ou perfil em uma conta-membro na etapa 5, esse usuário ou perfil deverá ter as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations.

  • organizations:LeaveOrganization – observe que o administrador da organização pode aplicar uma política para a sua conta que remove essa permissão, impedindo que você remova sua conta da organização.

  • Se quando você fizer login como usuário do IAM estiverem faltando informações de pagamento na conta, será necessário que o usuário tenha as permissões aws-portal:ModifyBilling e aws-portal:ModifyPaymentMethods (caso a conta ainda não tenha migrado para permissões refinadas) OU as permissões payments:CreatePaymentInstrument e payments:UpdatePaymentPreferences (caso a conta já tenha migrado para permissões refinadas). Além disso, a conta-membro precisa ter acesso de usuário do IAM ao faturamento habilitado. Se ele ainda não estiver habilitado, consulte Ativar o acesso ao console do Billing and Cost Management no Guia do usuário do AWS Billing.

Console de gerenciamento da AWS
Para remover uma conta-membro da sua organização

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.

  2. Na página Contas da AWS, encontre e escolha a caixa de seleção Blue checkmark icon indicating confirmation or completion of a task. próxima à conta-membro que você deseja remover de sua organização. Você pode navegar na hierarquia da UO ou habilitar Exibir apenas Contas da AWS para ver uma lista simples de contas sem a estrutura da UO. Se você tiver muitas contas, talvez seja necessário escolher Load more accounts in 'ou-name' (Carregar mais contas em ‘nome-uo’) no fim da lista para encontrar todas que você deseja mover.

    Na página Contas da AWS, encontre e escolha o nome próximo à conta-membro que você deseja remover de sua organização. Talvez seja necessário expandir as UOs (escolha Gray cloud icon representing cloud computing or storage services. ) para encontrar a conta que você deseja.

  3. Selecione Actions (Ações), então, em Conta da AWS, escolha Remove from organization (Remover da organização).

  4. No diálogo Remove account 'account-name' (#account-id-num) from organization? (Remover conta 'account-name'(#account-id-num) da organização?, escolha Remove Account (Remover conta).

  5. Se o AWS Organizations não conseguir remover uma ou mais contas, isso será normal porque você não forneceu todas as informações necessárias para a conta funcionar como uma conta autônoma. Siga estas etapas:

    1. Faça login na conta com falha. Recomendamos fazer login na conta-membro escolhendo Copy link (Copiar link) e colando-o na barra de endereço de uma nova janela de navegação incógnito. Se você não ver o link Copiar, use este link para acessar a página Inscrever-se na AWS e concluir as etapas de registro que restam. Se você não usar uma janela incognito, será desconectado da conta gerencial e não poderá navegar de volta para essa caixa de diálogo.

    2. O navegador leva você diretamente para o processo de cadastramento para concluir as etapas ausentes para essa conta. Conclua todas as etapas apresentadas. Isso pode incluir o seguinte:

      • Fornecer informações de contato

      • Fornecer um método de pagamento válido

      • Verificar o número de telefone

      • Selecionar uma opção de plano de suporte

    3. Depois que você conclui a última etapa do cadastramento, a AWS redireciona automaticamente o navegador para o console do AWS Organizations para a conta membro. Escolha Leave organization e, em seguida, confirme sua escolha na caixa de diálogo de confirmação. Você será redirecionado para a página Getting Started (Conceitos básicos) do console do AWS Organizations, onde você pode visualizar convites pendentes para a sua conta para ingressar em outras organizações.

    4. Remova as funções do IAM que concedem acesso à sua conta a partir da organização.

      Importante

      Se a conta foi criada na organização, o Organizations criou automaticamente um perfil do IAM na conta que habilitou o acesso pela conta gerencial da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente esse perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Guia do usuário do IAM.

AWS CLI & AWS SDKs
Para remover uma conta-membro da sua organização

Você pode usar um dos seguintes comandos para remover uma conta-membro:

Depois que a conta-membro for removida da organização, certifique-se de remover da organização as funções do IAM que concedem acesso à sua conta.

Importante

Se a conta foi criada na organização, o Organizations criou automaticamente um perfil do IAM na conta que habilitou o acesso pela conta gerencial da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente esse perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Guia do usuário do IAM.

Em vez disso, as contas-membro podem remover a si mesmas utilizando leave-organization. Para obter mais informações, consulte Como sair de uma organização como uma conta de membro com o AWS Organizations.