通过以下方式从组织中删除成员账户 AWS Organizations - AWS Organizations
注意事项从组织中移除成员账户

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过以下方式从组织中删除成员账户 AWS Organizations

移除成员账户不会导致该账户被注销,而只是将成员账户从组织中移除。以前的成员账户变为独立账户 AWS 账户 ,不再由其管理 AWS Organizations。

移除账户后,该账户不再受任何策略约束,并自行支付账单。从组织中移除账户后,该账户应计的任何费用将不再计入该组织的管理账户。

注意事项

管理账户创建的 IAM 访问角色不会被自动删除

当您从组织中移除成员账户时,为允许该组织的管理账户访问而创建的任何 IAM 角色都不会自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户

仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户。使用 AWS Organizations 控制台、API 或 AWS CLI 命令在组织中创建账户时,不会自动收集独立账户所需的所有信息。

对于您想要独立创建的每个账户,您都必须选择支持计划,提供并验证所需的联系信息,并提供当前的付款方式。 AWS 使用付款方式对账户未关联到组织期间发生的任何可计费(非 AWS 免费套餐) AWS 活动收费。要移除还没有此信息的账户,请按照 从成员账户中退出组织 AWS Organizations 中的步骤操作。

您必须等到账户创建后至少四天

要删除您在组织中创建的账户,您必须等到该账户创建后至少四天。邀请的账户不受此等待期限的限制。

退出组织的账户的所有者将负责所有产生的新成本

当账户成功离开组织 AWS 账户 时,账户的所有者将负责应计的所有新 AWS 费用,并使用该账户的付款方式。该组织的管理账户不再负责。

该账户不能是为组织启用的任何 AWS 服务的委派管理员账户

要删除的帐户不得是为组织启用的任何 AWS 服务的委派管理员帐户。如果该账户是委托管理员,则必须首先将委托管理员账户更改为组织中剩余的其他账户。有关如何禁用或更改 AWS 服务的委派管理员帐户的更多信息,请参阅该服务的文档。

该账户不再能够访问成本和使用情况数据

当某个成员账户离开组织后,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。但是,组织的管理账户仍可以访问这些数据。如果该账户重新加入组织,则其将可以再次访问这些数据。

该账户上附加的标签将被删除

当成员账户离开组织时,所有附加到该账户的标签都将被删除。

该账户中的主体不再受任何组织策略的影响

该账户中的委托人不再受组织内应用的任何策略影响。这意味着所施加 SCPs 的限制已经消失,账户中的用户和角色可能比以前拥有更多的权限。其他组织策略类型不能再强制执行或处理。

该账户不再属于组织协议的管辖范围

如果从组织中删除成员账户,则该成员账户将不再由组织协议所涵盖。管理账户管理员应在从组织中删除成员账户之前将此信息传达给成员账户,以便成员账户可以在必要时添加新协议。可以在 AWS Artifact 控制台的 “组织协议” 页面上查看有效的AWS Artifact 组织协议列表。

与其他服务的集成可能被禁用

与其他服务的集成可能会被禁用。如果您从启用了与某项 AWS 服务集成的组织中删除一个帐户,则该账户中的用户将无法再使用该服务。

从组织中移除成员账户

登录组织的管理账户后,您可以从组织中移除不再需要的成员账户。为此,请完成以下过程。以下过程仅适用于成员账户。要移除管理账户,您必须删除组织

最小权限

要从您的组织中移除一个或多个成员账户,您必须以管理账户中的用户或角色身份登录并且必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

  • organizations:RemoveAccountFromOrganization

如果您选择在第 5 步中以成员账户中的用户或角色身份登录,则该用户或角色必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要。

  • organizations:LeaveOrganization – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以 IAM 用户身份登录并且账户缺少付款信息,则用户必须具有 aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods 权限(如果账户尚未迁移到精细权限)或 payments:CreatePaymentInstrumentpayments:UpdatePaymentPreferences 权限(如果账户已迁移到精细权限)。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅《AWS Billing 用户指南》中的激活对账单和成本管理控制台的访问权

AWS Management Console
从组织中删除成员账户

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面上,找到并选中要从组织中删除的每个成员账户旁的复选框 Blue checkmark icon indicating confirmation or completion of a task. 。您可以在 OU 层次结构中导航,也可以启用 “ AWS 账户 仅查看” 以查看没有 OU 结构的账户的平面列表。如果您有很多账户,您可能需要在列表底部选择 Load more accounts in 'ou-name' (加载使用“OU 名称”的更多账户) 以查找要移动的所有账户。

    AWS 账户页面上,找到并选中要从组织中删除的成员账户的名称。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的帐户。

  3. 选择 Actions (操作),然后在AWS 账户下,选择 Remove from organization (从组织中删除)

  4. 从组织中删除账户 “账户名” (# account-id-num) 中? 对话框中,选择删除帐户

  5. 如果 AWS Organizations 无法删除一个或多个账户,通常是因为您没有提供该账户作为独立账户运行所需的所有信息。执行以下步骤:

    1. 登录失败的账户。建议您通过选择 Copy link (复制链接),然后将它粘贴在新的无痕浏览器窗口的地址栏中来登录成员账户。如果您没有看到复制链接,请使用此链接进入注册 AWS 页面,完成缺少的注册步骤。如果您未使用无痕窗口,则您已注销管理账户,并且无法导航回此对话框。

    2. 此浏览器会将您转至注册过程以完成此账户缺失的任何步骤。完成显示的所有步骤。步骤可能包括:

      • 提供联系人信息

      • 提供有效的付款方式

      • 验证电话号码

      • 选择支持计划选项

    3. 完成最后一个注册步骤后, AWS 会自动将您的浏览器重定向到该成员 AWS Organizations 账户的控制台。选择 Leave organization,然后在确认对话框中确认您的选择。系统将您重定向到 控制台的 Getting Started AWS Organizations 页面,在其中可以查看您的账户加入其他组织的待处理邀请。

    4. 从组织中删除授予访问您账户的权限的 IAM 角色。

      重要

      如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

AWS CLI & AWS SDKs
从组织中删除成员账户

您可以使用以下命令之一删除成员账户:

从组织中删除成员账户后,请确保从组织中删除授予您账户访问权限的 IAM 角色。

重要

如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

成员账户也可以使用 leave-organization 来移除自己。有关更多信息,请参阅 从成员账户中退出组织 AWS Organizations