从组织中删除成员账户 - Amazon Organizations
从组织中删除账户前需知从组织中删除成员账户作为成员账户退出组织
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

从组织中删除成员账户

组织账户管理工作的一部分是删除不再需要的成员 账户。此页面介绍了您在删除账户之前需要了解的信息,并提供了删除账户的过程。

有关删除管理账户的信息,请参阅通过删除管理账户来删除组织

从组织中删除账户前需知

删除账户之前,您需要了解以下内容:

  • 仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户。当您使用 Amazon Organizations 控制台、API 或 Amazon CLI 命令在组织中创建账户时,系统将不会自动收集独立账户所需的任何信息。对于您想用作独立账户的每个账户,您必须选择支持计划,提供和验证所需联系信息,并提供当前的付款方式。Amazon 将使用该付款方式向账户未绑定到组织期间发生的任何可结算(非Amazon免费套餐)Amazon活动收费。

  • 要删除您在组织中创建的账户,您必须等到账户创建后至少七天。邀请的账户不受此等待期限的限制。

  • 当账户成功离开该组织时,Amazon Web Services 账户的拥有者将负责所有新的Amazon应计成本,并使用账户的付款方式。该组织的管理账户不再负责。

  • 要删除的账户不得是为组织启用的任何Amazon服务的委托管理员账户。如果该账户是委托管理员,则必须首先将委托管理员账户更改为组织中剩余的其他账户。有关如何禁用或更改Amazon服务的委托管理员账户的更多信息,请参阅该服务对应的文档

  • 即使在从组织内删除已创建的账户(使用 Amazon Organizations 控制台或 CreateAccount API 创建的账户)之后,(i) 已创建账户仍受与我们达成的创建管理账户协议条款的约束,并且 (ii) 创建管理账户将对其创建的账户执行的任何操作承担共同和单独的责任。未经我们的事先同意,不得转让或转移客户与我们之间的协议以及这些协议下的权利和义务。要获得我们的同意,请通过 https://aws.amazon.com/contact-us/ 与我们联系。

  • 当某个成员账户离开组织后,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。但是,组织的管理账户仍可以访问这些数据。如果该账户重新加入组织,则其将可以再次访问这些数据。

  • 当成员账户离开组织时,所有附加到该账户的标签都将被删除。

从组织中删除账户的影响

当您从组织中移除账户时,不会对该账户进行任何直接更改。但会产生以下间接影响:

  • 现在,该账户负责支付自己的费用,并且必须向该账户附加有效的付款方式。

  • 如果您在任何策略中使用 aws:PrincipalOrgID 条件键,以限制只能访问组织中Amazon Web Services 账户的用户和角色,那么您应该在删除成员账户之前查看并可能更新这些策略。如果不更新策略,则当账户离开组织时,账户中的用户和角色可能会失去对资源的访问权限。

  • 与其他服务的集成可能会被禁用。如果您从已启用Amazon服务集成的组织中删除账户,则此账户中的用户将无法再使用该服务。

从组织中删除成员账户

登录组织的管理账户后,您可以从组织中移除不再需要的成员账户。为此,请完成以下过程。这些过程仅适用于成员账户。要移除管理账户,您必须删除组织

注意

如果从组织中删除成员账户,则该成员账户将不再由组织协议所涵盖。管理账户管理员应在从组织中删除成员账户之前将此信息传达给成员账户,以便成员账户可以在必要时添加新协议。有效的组织协议列表可在 Amazon Artifact 控制台的 Amazon Artifact Organization Agreements (Amazon Artifact 组织协议) 页面中查看。

最小权限

要从您的组织中移除一个或多个成员账户,您必须以管理账户中的 IAM 用户或角色身份登录并且必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

  • organizations:RemoveAccountFromOrganization

如果您选择以步骤 6 中成员账户中的 IAM 用户或角色登录,则该用户或角色必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要。

  • organizations:LeaveOrganization – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以 IAM 用户身份登录并且账户缺少付款信息,则 IAM 用户必须具有 aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods 权限。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅《Amazon Billing 用户指南》中的激活对账单和成本管理控制台的访问权

Amazon Web Services Management Console

从组织中删除成员账户

  1. 登录到 Amazon Organizations 控制台您必须以某个 IAM 用户的身份登录或代入组织管理账户中的某个 IAM 角色。

  2. Amazon Web Services 账户页面上,找到并选中要从组织中删除的每个成员账户旁的复选框 。您可以导航 OU 层次结构,或启用 View Amazon Web Services 账户 only (仅限查看亚马逊云科技账户) 来查看没有 OU 结构的账户的平面列表。如果您有很多账户,您可能需要在列表底部选择 Load more accounts in 'ou-name' (加载使用“OU 名称”的更多账户) 以查找要移动的所有账户。

    Amazon Web Services 账户页面上,找到并选中要从组织中删除的成员账户的名称。您可能需要展开 OU(选择 )以查找所需的账户。

  3. 选择 Actions (操作),然后在Amazon Web Services 账户下,选择 Remove from organization (从组织中删除)

  4. Remove account 'account-name' (#account-id-num) from organization? (是否从组织中删除账户“账户名称”(#account-id-num)?) 对话框中,选择 Remove account (删除账户)

  5. 如果 Amazon Organizations 无法删除一个或多个账户,通常是因为您没有提供账户作为独立账户运行所需的全部信息。执行以下步骤:

    1. 登录失败的账户。建议您通过选择 Copy link (复制链接),然后将它粘贴在新的无痕浏览器窗口的地址栏中来登录成员账户。如果您未使用无痕窗口,则您已注销管理账户,并且无法导航回此对话框。

    2. 此浏览器会将您转至注册过程以完成此账户缺失的任何步骤。完成显示的所有步骤。步骤可能包括:

      • 提供联系人信息

      • 提供有效的付款方式

      • 验证电话号码

      • 选择支持计划选项

    3. 在完成注册过程的最后一步后,Amazon 会自动将您的浏览器重定向至成员账户的 Amazon Organizations 控制台。选择 Leave organization,然后在确认对话框中确认您的选择。系统将您重定向到 控制台的 Getting StartedAmazon Organizations 页面,在其中可以查看您的账户加入其他组织的待处理邀请。

Amazon CLI & Amazon SDKs

从组织中删除成员账户

您可以使用以下命令之一删除成员账户:

作为成员账户退出组织

登录成员账户后,您可以将该账户从其组织中删除。为此,请完成以下过程。管理账户不能使用此方法离开组织。要移除管理账户,您必须删除组织

要删除的账户不得是为组织启用的任何Amazon服务的委托管理员账户。如果该账户是委托管理员,则必须首先将委托管理员账户更改为组织中剩余的其他账户。有关如何禁用或更改Amazon服务的委托管理员账户的更多信息,请参阅该服务对应的文档

重要

如果您离开一个组织,您将不再被该组织的管理账户代表您接受的组织协议所涵盖。您可以在 Amazon Artifact 控制台的 Amazon Artifact Organization Agreements (Amazon Artifact 组织协议) 页面中查看这些组织协议的列表。在离开组织之前,您应该在您的法律、隐私或合规性团队的协助下确定您是否有必要建立新的协议。

注意

组织的账户状态影响可见的成本和使用率数据:

  • 如果某个成员账户离开组织并且成为独立账户,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。该账户只能访问作为独立账户生成的数据。

  • 如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成员时的时间范围内的成本和使用率数据。该账户只能访问作为组织 B 的成员生成的数据。

  • 如果某个账户重新加入其以前所属的组织,该账户将重新获得对其成本和使用情况历史数据的访问权限。

最小权限

要退出 Amazon 组织,您必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要。

  • organizations:LeaveOrganization – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。

  • 如果您以 IAM 用户身份登录并且账户缺少付款信息,则 IAM 用户必须具有 aws-portal:ModifyBillingaws-portal:ModifyPaymentMethods 权限。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅《Amazon Billing 用户指南》中的激活对账单和成本管理控制台的访问权

Amazon Web Services Management Console

作为成员账户退出组织

  1. Amazon Organizations 控制台处登录到 Amazon Organizations 控制台。您必须以 IAM 用户身份或采用成员账户中的 IAM 角色登录。

  2. Organizations Dashboard (Organizations 控制面板) 页面上,选择 Leave organization (离开组织)

  3. 执行下列步骤之一:

    • 如果您的账户具有作为独立账户运行所需的全部信息,则将显示一个确认对话框。确认您选择删除账户。系统将您重定向到 控制台的 Getting StartedAmazon Organizations 页面,在其中可以查看您的账户加入其他组织的待处理邀请。

    • 如果您的账户没有所有必需信息,请执行以下步骤:

      1. 这将显示一个对话框,其中说明您必须完成一些额外步骤。单击链接。

      2. 完成提供的所有注册步骤。步骤可能包括:

        • 提供联系人信息

        • 提供有效的付款方式

        • 验证电话号码

        • 选择支持计划选项

      3. 在出现一个指明注册过程已完成的对话框时,请选择 Leave organization

      4. 您将看到确认对话框。确认您选择删除账户。系统将您重定向到 控制台的 Getting StartedAmazon Organizations 页面,在其中可以查看您的账户加入其他组织的待处理邀请。

  4. 从组织中删除授予访问您账户的权限的 IAM 角色。

    重要

    如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》中的删除角色或实例配置文件

Amazon CLI & Amazon SDKs

作为成员账户退出组织

您可以使用以下命令之一离开组织:

  • Amazon CLI:leave-organization

    以下示例将迫使其凭据被用于运行命令的账户退出组织。

    $ aws organizations leave-organization

    如果成功,此命令不会产生任何输出。

  • Amazon SDK:LeaveOrganization