Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwaltung von Mitgliedskonten mit AWS Organizations
<a name="orgs-manage_accounts_members"></a>

Ein *Mitgliedskonto* ist ein AWS-Konto anderes als das Verwaltungskonto, das Teil einer Organisation ist.

In diesem Thema wird beschrieben, wie Sie Mitgliedskonten mit verwalten AWS Organizations.

**Topics**
+ [Bewährte Methoden für Mitgliedskonten](orgs_best-practices_member-acct.md)
+ [Erstellen eines Mitgliedskontos](orgs_manage_accounts_create.md)
+ [Zugreifen auf Mitgliedskonten](orgs_manage_accounts_access.md)
+ [Schließen eines Mitgliedskontos](orgs_manage_accounts_close.md)
+ [Schützen von Mitgliedskonten vor der Schließung](orgs_account_close_policy.md)
+ [Entfernen eines Mitgliedskontos](orgs_manage_accounts_remove.md)
+ [Eine Organisation von einem Mitgliedskonto aus verlassen](orgs_manage_accounts_leave-as-member.md)
+ [Aktualisierung des Kontonamens für ein Mitgliedskonto](orgs_manage_accounts_update_name.md)
+ [Aktualisierung der E-Mail-Adresse des Root-Benutzers für ein Mitgliedskonto](orgs_manage_accounts_update_primary_email.md)

# Bewährte Methoden für Mitgliedskonten
<a name="orgs_best-practices_member-acct"></a>

Befolgen Sie diese Empfehlungen, um die Mitgliedskonten in Ihrer Organisation zu schützen. Bei diesen Empfehlungen wird davon ausgegangen, dass Sie sich auch an die [bewährte Methode halten, den Stammbenutzer nur für die Aufgaben zu verwenden, die ihn wirklich erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).

**Topics**
+ [Definieren des Kontonamens und der Attribute](#bp_member-acct_define-acct)
+ [Effizientes Skalieren Ihrer Umgebung und Kontonutzung](#bp_member-acct_efficiently-scale)
+ [Aktivieren Sie die Root-Zugriffsverwaltung, um die Verwaltung der Root-Benutzeranmeldeinformationen für Mitgliedskonten zu vereinfachen](#bp_member-acct_root-access-management)

## Definieren des Kontonamens und der Attribute
<a name="bp_member-acct_define-acct"></a>

Verwenden Sie für die Mitgliedskonten eine Benennungsstruktur und eine E-Mail-Adresse, die der Kontonutzung entsprechen. Zum Beispiel `Workloads+fooA+dev@domain.com` für `WorkloadsFooADev` oder `Workloads+fooB+dev@domain.com` für `WorkloadsFooBDev`. Wenn benutzerdefinierte Tags für Ihre Organisation definiert sind, sollten Sie diese Tags in Konten zuweisen, die die Kontonutzung, die Kostenstelle, die Umgebung und das Projekt widerspiegeln. Das erleichtert das Identifizieren und Organisieren von Konten und die Suche danach. 

## Effizientes Skalieren Ihrer Umgebung und Kontonutzung
<a name="bp_member-acct_efficiently-scale"></a>

Stellen Sie bei der Skalierung vor dem Erstellen neuer Konten sicher, dass es noch keine Konten für ähnliche Anforderungen gibt, um unnötige Doppelarbeit zu vermeiden. AWS-Konten sollte auf gemeinsamen Zugangsanforderungen basieren. Wenn Sie planen, die Konten wiederzuverwenden (z. B. als Sandbox-Konto oder ähnliches), sollten Sie nicht benötigte Ressourcen oder Workloads in den Konten bereinigen, die Konten jedoch für eine künftige Nutzung aufbewahren.

Beachten Sie vor dem Schließen von Konten, dass sie entsprechenden Kontingentlimits unterliegen. Weitere Informationen finden Sie unter [Kontingente und Servicebeschränkungen für AWS Organizations](orgs_reference_limits.md). Implementieren Sie nach Möglichkeit einen Bereinigungsprozess, um Konten wiederzuverwenden, anstatt sie zu schließen. Auf diese Weise vermeiden Sie, dass Ihnen Kosten durch den Betrieb von Ressourcen und das Erreichen von [CloseAccount API-Limits](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) entstehen. 

## Aktivieren Sie die Root-Zugriffsverwaltung, um die Verwaltung der Root-Benutzeranmeldeinformationen für Mitgliedskonten zu vereinfachen
<a name="bp_member-acct_root-access-management"></a>

Wir empfehlen Ihnen, die Root-Zugriffsverwaltung zu aktivieren, damit Sie die Root-Benutzeranmeldeinformationen für Mitgliedskonten überwachen und entfernen können. Die Root-Zugriffsverwaltung verhindert die Wiederherstellung von Root-Benutzeranmeldedaten und verbessert so die Kontosicherheit in Ihrer Organisation.
+ Entfernen Sie die Root-Benutzeranmeldedaten für Mitgliedskonten, um eine Anmeldung beim Root-Benutzer zu verhindern. Dadurch wird auch verhindert, dass Mitgliedskonten den Root-Benutzer wiederherstellen können.
+ Gehen Sie von einer privilegierten Sitzung aus, um die folgenden Aufgaben für Mitgliedskonten auszuführen:
  + Entfernen Sie eine falsch konfigurierte Richtlinie für einen Bucket, die allen Prinzipalen den Zugriff auf einen Amazon-S3-Bucket verweigert.
  + Löschen Sie eine ressourcenbasierte Richtlinie von Amazon Simple Queue Service, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.
  + Erlauben Sie einem Mitgliedskonto, seine Root-Benutzeranmeldeinformationen wiederherzustellen. Die Person mit Zugriff auf die E-Mail-Adresse des Root-Benutzers und den für das Mitgliedskonto kann das Root-Benutzerpasswort zurücksetzen und sich als Root-Benutzer des Mitgliedskontos anmelden.

Nachdem die Root-Zugriffsverwaltung aktiviert wurde, verfügen neu erstellte Mitgliedskonten über keine Root-Benutzeranmeldedaten, sodass keine zusätzliche Sicherheit wie MFA nach der Bereitstellung erforderlich ist. secure-by-default

*Weitere Informationen finden Sie im Benutzerhandbuch unter [Zentralisierung der Root-Benutzeranmeldedaten für Mitgliedskonten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)AWS Identity and Access Management .* 

### Verwenden Sie einen SCP, um einzuschränken, was der Stammbenutzer in Ihren Mitgliedskonten tun kann
<a name="bp_member-acct_use-scp"></a>

Es wird empfohlen, eine Service-Kontrollrichtlinie (Service Control Policy, SCP) in der Organisation zu erstellen und sie dem Stammverzeichnis der Organisation zuzuordnen, damit sie auf alle Mitgliedskonten angewendet wird. Weitere Informationen finden Sie unter [Sichern von Root-Benutzer-Anmeldedaten für Ihr Organizations-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations).

Sie können alle Root-Aktionen bis auf eine bestimmte, reine Root-Aktion ablehnen, die Sie in Ihrem Mitgliedskonto ausführen müssen. Der folgende SCP verhindert beispielsweise, dass der Root-Benutzer eines Mitgliedskontos AWS Dienst-API-Aufrufe tätigt, mit Ausnahme von „Aktualisierung einer S3-Bucket-Richtlinie, die falsch konfiguriert war und allen Prinzipalen den Zugriff verweigert“ (eine der Aktionen, für die Root-Anmeldeinformationen erforderlich sind). Weitere Informationen finden Sie unter [Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) im *IAM-Benutzerhandbuch*.

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction":[
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:DeleteBucketPolicy"
                 ],
            "Resource": "*",
            "Condition": {
 "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
            }
        }
    ]
 }
```

------

In den meisten Fällen können alle Verwaltungsaufgaben von einer IAM-Rolle ( AWS Identity and Access Management ) im Mitgliedskonto mit entsprechenden Administratorberechtigungen ausgeführt werden. Auf diese Rollen sollten geeignete Kontrollen angewendet werden, um Aktivitäten einzuschränken, zu protokollieren und zu überwachen.

# Erstellen eines Mitgliedskontos in einer Organisation mit AWS Organizations
<a name="orgs_manage_accounts_create"></a>

In diesem Thema wird beschrieben, wie Sie AWS-Konten innerhalb Ihrer Organisation in erstellen AWS Organizations. Informationen zum Erstellen einer Single AWS-Konto finden Sie im [Ressourcencenter Erste Schritte](https://aws.amazon.com/getting-started/).

## Überlegungen vor der Erstellung eines Mitgliedskontos
<a name="orgs_manage_accounts_create-considerations"></a>

**Organizations erstellt automatisch die IAM-Rolle `OrganizationAccountAccessRole` für das Mitgliedskonto**

Wenn Sie in Ihrer Organisation ein Mitgliedskonto erstellen, erstellt Organizations automatisch die IAM-Rolle `OrganizationAccountAccessRole` im Mitgliedskonto, sodass Benutzer und Rollen im Verwaltungskonto die volle administrative Kontrolle über das Mitgliedskonto ausüben können. Alle zusätzlichen Konten, die derselben verwalteten Richtlinie zugeordnet sind, werden bei jeder Aktualisierung der Richtlinie automatisch aktualisiert. Diese Rolle unterliegt allen [Dienstkontrollrichtlinien (SCPs)](orgs_manage_policies_scps.md), die für das Mitgliedskonto gelten.

**Organizations erstellt automatisch die serviceverknüpfte Rolle `AWSServiceRoleForOrganizations` für das Mitgliedskonto**

Wenn Sie in Ihrer Organisation ein Mitgliedskonto erstellen, erstellt Organizations automatisch eine dienstbezogene Rolle `AWSServiceRoleForOrganizations` im Mitgliedskonto, die die Integration mit ausgewählten AWS Diensten ermöglicht. Um die Integration zu ermöglichen, müssen Sie die anderen Services konfigurieren. Weitere Informationen finden Sie unter [AWS Organizations und dienstbezogene Rollen](orgs_integrate_services.md#orgs_integrate_services-using_slrs).

**Mitgliedskonten können nur im Stammverzeichnis einer Organisation erstellt werden**

Mitgliedskonten in einer Organisation können nur im Stammverzeichnis einer Organisation erstellt werden. Nachdem Sie ein Stammkonto für ein Mitgliedskonto einer Organisation erstellt haben, können Sie es zwischen diesen verschieben OUs. Weitere Informationen finden Sie unter [Konten in eine Organisationseinheit (OU) oder zwischen Stamm- und OUs mit verschieben AWS Organizations](move_account_to_ou.md).

**Richtlinien, die an das Stammverzeichnis angehängt sind, gelten sofort**

Wenn Sie Richtlinien an das Stammkonto angehängt haben, gelten diese Richtlinien sofort für alle Benutzer und Rollen im erstellten Konto.

Wenn Sie [Service Trust für einen anderen AWS Dienst Ihrer Organisation aktiviert](orgs_integrate_services_list.md) haben, kann dieser vertrauenswürdige Dienst dienstbezogene Rollen erstellen oder Aktionen für jedes Mitgliedskonto in der Organisation ausführen, einschließlich Ihres erstellten Kontos.

**Mitgliedskonten müssen sich für den Empfang von Marketing-E-Mails anmelden**

Mitgliedskonten, die Sie als Teil einer Organisation erstellen, abonnieren nicht automatisch AWS Marketing-E-Mails. Um Ihre Konten für den Erhalt von Marketing-E-Mails anzumelden, siehe [https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences).

**Mitgliedskonten für Organisationen, die von verwaltet werden, AWS Control Tower sollten in erstellt werden AWS Control Tower**

Wenn Ihre Organisation von verwaltet wird AWS Control Tower, empfehlen wir Ihnen, Ihre Mitgliedskonten mithilfe der AWS Control Tower Konto-Factory-Funktion in der AWS Control Tower Konsole oder mithilfe von zu erstellen AWS Control Tower APIs.

Wenn Sie in Organizations ein Mitgliedskonto erstellen, obwohl die Organisation von verwaltet wird AWS Control Tower, wird das Konto nicht registriert. AWS Control Tower Weitere Informationen finden Sie unter [Verweisen auf Ressourcen außerhalb von AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources) im *AWS Control Tower -Benutzerhandbuch*.

## Erstellen eines Mitgliedskontos
<a name="orgs_manage_accounts_create-new"></a>

Nachdem Sie sich beim Verwaltungskonto der Organisation angemeldet haben, können Sie Mitgliedskonten erstellen, die Teil Ihrer Organisation sind.

Wenn Sie mit dem folgenden Verfahren ein Konto erstellen, AWS Organizations werden die folgenden **primären Kontaktinformationen** automatisch aus dem Verwaltungskonto in das neue Mitgliedskonto kopiert:
+ Phone number (Telefonnummer)
+ Unternehmensname
+ Website-URL
+ Adresse

Organizations kopieren auch die Kommunikationssprache und die Marketplace-Informationen (in einigen Fällen Anbieter des Kontos AWS-Regionen) aus dem Verwaltungskonto.

**Mindestberechtigungen**  
Um ein Mitgliedskonto in Ihrer Organisation zu erstellen, müssen Sie über die folgenden Berechtigungen verfügen:  
`organizations:DescribeOrganization` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden
`organizations:CreateAccount`

### AWS-Managementkonsole
<a name="orgs_manage_accounts_create-new-console"></a>

**Um ein Konto zu erstellen AWS-Konto , das automatisch Teil Ihrer Organisation ist**

1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

1. Klicken Sie auf der **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)**-Seite auf **Hinzufügen eines AWS-Konto**.

1. Klicken Sie auf der Seite **[Hinzufügen eines AWS-Konto](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** auf **Erstellen eines AWS-Konto** (wird standardmäßig ausgewählt). 

1. Geben Sie auf der Seite **[Erstellen eines AWS-Konto](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** unter **AWS-Konto -Name** den Namen ein, den Sie dem Konto zuweisen möchten. Dieser Name hilft Ihnen, das Konto von anderen Konten der Organisation zu unterscheiden. Es handelt sich nicht um den IAM-Alias oder den E-Mail-Namen des Besitzers.

1. Geben Sie für **E-Mail-Adresse des Kontoinhabers** die E-Mail-Adresse des Kontoinhabers ein. Diese E-Mail-Adresse kann nicht bereits mit einer anderen verknüpft sein AWS-Konto , da sie als Anmeldedaten für den Root-Benutzer des Kontos dient.

1. (Optional) Geben Sie den Namen ein, der der IAM-Rolle zugewiesen wird, die automatisch in dem neuen Konto erstellt wird. Diese Rolle gewährt dem Verwaltungskonto der Organisation die Kontoberechtigung zum Zugriff auf das neu erstellte Mitgliedskonto. Wenn Sie keinen Namen angeben, wird AWS Organizations der Rolle der Standardname zugewiesen. `OrganizationAccountAccessRole` Wir empfehlen, den Standardnamen für alle Konten zu verwenden, um Konsistenz zu gewährleisten.
**Wichtig**  
Notieren Sie sich diesen Rollennamen. Sie benötigen ihn später, um Benutzern und Rollen im Verwaltungskonto Zugriff auf das neue Konto zu gewähren.

1. (Optional) Fügen Sie im Abschnitt **Tags** ein oder mehrere Tags zum neuen Konto hinzu, indem Sie **Tag hinzufügen** auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sie den Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht `null`. Sie können einem Konto bis zu 50 Tags hinzufügen.

1. Wählen Sie **Erstellen AWS-Konto** aus.
   + Wenn Sie eine Fehlermeldung erhalten, die darauf hinweist, dass Sie Ihr Kontokontingent für die Organisation überschritten haben, lesen Sie [Ich erhalte eine Meldung „Kontingent überschritten“, wenn ich versuche, meiner Organisation ein Konto hinzuzufügen.](orgs_troubleshoot.md#troubleshoot_general_error-adding-account).
   + Wenn Sie eine Fehlermeldung erhalten, die darauf hinweist, dass Sie ein Konto nicht hinzufügen können, weil Ihre Organisation noch initialisiert wird, warten Sie eine Stunde, und versuchen Sie es dann erneut.
   + Sie können auch im AWS CloudTrail Protokoll nach Informationen darüber suchen, ob die Kontoerstellung erfolgreich war. Weitere Informationen finden Sie unter [Einloggen und Überwachen AWS Organizations](orgs_security_incident-response.md).
   + Wenn das Problem weiterhin besteht, wenden Sie sich bitte an [AWS Support](https://console.aws.amazon.com/support/home#/).

   Die **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)**-Seite wird angezeigt und Ihr neues Konto wird der Liste hinzugefügt.

1. Da das Konto nun vorhanden ist und eine IAM-Rolle hat, die einen administrativen Zugriff für Benutzer im Verwaltungskonto zulässt, können Sie dem Konto über die Schritte unter [Zugreifen auf Mitgliedskonten in einer Organisation mit AWS Organizations](orgs_manage_accounts_access.md) Zugriff gewähren.

### AWS CLI & AWS SDKs
<a name="orgs_manage_accounts_create-new-cli-sdk"></a>

Die folgenden Code-Beispiele zeigen, wie `CreateAccount` verwendet wird.

------
#### [ .NET ]

**SDK für .NET**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples) einrichten und ausführen. 

```
    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }
```
+  Einzelheiten zur API finden Sie [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)in der *AWS SDK für .NET API-Referenz*. 

------
#### [ CLI ]

**AWS CLI**  
**So erstellen Sie ein Mitgliedskonto, das automatisch Teil Ihrer Organisation ist**  
Das folgende Beispiel zeigt, wie ein Mitgliedskonto in einer Organisation erstellt wird. Das Mitgliedskonto ist mit dem Namen Production Account und der E-Mail-Adresse susan@example.com konfiguriert. Organizations erstellt automatisch eine IAM-Rolle mit dem Standardnamen von, OrganizationAccountAccessRole da der RoleName-Parameter nicht angegeben ist. Außerdem ist die Einstellung, die IAM-Benutzern oder -Rollen mit ausreichenden Berechtigungen den Zugriff auf Kontoabrechnungsdaten ermöglicht, auf den Standardwert ALLOW gesetzt, da der IamUserAccessToBilling Parameter nicht angegeben ist. Organizations sendet Susan automatisch eine „Willkommen bei AWS“ -E-Mail:  

```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
Die Ausgabe umfasst ein Anforderungsobjekt, aus dem hervorgeht, dass der Status jetzt `IN_PROGRESS` lautet:  

```
{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}
```
Sie können später den aktuellen Status der Anfrage abfragen, indem Sie den Antwortwert ID für den describe-create-account-status Befehl als Wert für den create-account-request-id Parameter angeben.  
Weitere Informationen finden Sie unter Erstellen eines AWS Kontos in Ihrer Organisation im *Benutzerhandbuch für AWS Organizations*.  
+  Einzelheiten zur API finden Sie [CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)unter *AWS CLI Befehlsreferenz*. 

------

# Zugreifen auf Mitgliedskonten in einer Organisation mit AWS Organizations
<a name="orgs_manage_accounts_access"></a>

Wenn Sie ein Konto in Ihrer Organisation erstellen, erstellt  zusätzlich zum StammbenutzerAWS Organizations automatisch eine IAM-Rolle, die standardmäßig `OrganizationAccountAccessRole` benannt ist. Sie können bei der Erstellung einen anderen Namen angeben. Wir empfehlen jedoch, ihn für alle Ihre Konten einheitlich zu benennen. AWS Organizations erstellt keine anderen Benutzer oder Rollen.

Um auf die Konten innerhalb Ihrer Organisation zugreifen zu können, müssen Sie eines der folgenden Verfahren durchführen:

**Mindestberechtigungen**  
Um AWS-Konto von einem anderen Konto in Ihrer Organisation aus auf ein Konto zugreifen zu können, benötigen Sie die folgenden Berechtigungen:  
`sts:AssumeRole` – Das `Resource`-Element muss entweder auf ein Sternchen (\$1) oder auf die Konto-ID-Nummer des Kontos des Benutzers festgelegt sein, der auf das neue Mitgliedskonto zugreifen muss 

------
#### [ Using the root user (Not recommended for everyday tasks) ]

Wenn Sie in Ihrer Organisation ein neues Mitgliedskonto erstellen, hat das Konto standardmäßig keine Root-Benutzeranmeldeinformationen. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen, es sei denn, die Kontowiederherstellung ist aktiviert.

Sie können den [Root-Zugriff für Mitgliedskonten zentralisieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), um Root-Benutzeranmeldedaten für bestehende Mitgliedskonten in Ihrer Organisation zu entfernen. Durch das Löschen von Root-Benutzeranmeldedaten werden das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate entfernt und die Multi-Faktor-Authentifizierung (MFA) deaktiviert. Diese Mitgliedskonten verfügen nicht über die Anmeldeinformationen als Root-Benutzer, können sich nicht als Root-Benutzer anmelden und können das Root-Benutzer-Passwort nicht wiederherstellen. Neue Konten, die Sie in Organizations erstellen, verfügen standardmäßig über keine Root-Benutzer-Anmeldeinformationen.

Wenden Sie sich an Ihren Administrator, wenn Sie eine Aufgabe ausführen müssen, für die Root-Benutzeranmeldeinformationen für ein Mitgliedskonto erforderlich sind, für das keine Root-Benutzeranmeldedaten vorhanden sind.

Um als Root-Benutzer auf Ihr Mitgliedskonto zuzugreifen, müssen Sie den Vorgang zur Kennwortwiederherstellung durchführen. Weitere Informationen finden Sie unter [Ich habe mein Root-Benutzerpasswort für mich vergessen AWS-Konto](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) im *AWS Anmelde-Benutzerhandbuch*. 

Wenn Sie mit dem Root-Benutzer auf ein Mitgliedskonto zugreifen müssen, befolgen Sie diese bewährten Methoden:
+ Verwenden Sie den Root-Benutzer nicht, um auf Ihr Konto zuzugreifen, es sei denn, um andere Benutzer und Rollen mit eingeschränkteren Berechtigungen zu erstellen. Melden Sie sich dann als einer dieser neuen Benutzer oder Rollen an.
+ [Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa). Setzen Sie das Passwort zurück und [ordnen Sie dem Stammbenutzer ein MFA-Gerät zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).

Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *-IAM-Benutzerhandbuch*. Weitere Sicherheitsempfehlungen für Root-Benutzer finden Sie unter [Bewährte Methoden für Root-Benutzer AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) im *IAM-Benutzerhandbuch*.

------
#### [ Using trusted access for IAM Identity Center ]

Verwenden [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)und aktivieren Sie den vertrauenswürdigen Zugriff für IAM Identity Center mit. AWS Organizations Auf diese Weise können sich Benutzer mit ihren Unternehmensanmeldedaten beim AWS Zugriffsportal anmelden und auf Ressourcen in ihrem zugewiesenen Verwaltungskonto oder ihren Mitgliedskonten zugreifen.

Weitere Informationen finden Sie unter [Berechtigungen für mehrere Konten](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) im *Benutzerhandbuch von AWS IAM Identity Center *. Weitere Informationen zum Einrichten des vertrauenswürdigen Zugriffs für IAM Identity Center finden Sie unter [AWS IAM Identity Center und AWS Organizations](services-that-can-integrate-sso.md).

------
#### [ Using the IAM role OrganizationAccountAccessRole ]

Wenn Sie ein Konto mithilfe der im Rahmen von bereitgestellten Tools erstellen, können Sie auf das Konto zugreifen AWS Organizations, indem Sie den vorkonfigurierten Rollennamen verwenden`OrganizationAccountAccessRole`, der in allen neuen Konten vorhanden ist, die Sie auf diese Weise erstellen. Weitere Informationen finden Sie unter [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).

Wenn Sie ein vorhandenes Konto zum Beitritt zu Ihrer Organisation einladen und das Konto diese Einladung annimmt, haben Sie die Möglichkeit, eine IAM-Rolle zu erstellen, die dem Verwaltungskonto den Zugriff auf das eingeladene Mitgliedskonto gewährt. Diese Rolle soll mit der Rolle identisch sein, die automatisch einem Konto hinzugefügt wird, das mit AWS Organizations erstellt wird.

Informationen zum Erstellen dieser Rolle finden Sie unter [Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).

Nach dem Erstellen der Rolle können Sie mit den Schritten in [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md) zugreifen.

------

**Topics**
+ [Eine IAM-Zugriffsrolle erstellen](orgs_manage_accounts_create-cross-account-role.md)
+ [Verwenden der IAM-Zugriffsrolle](orgs_manage_accounts_access-cross-account-role.md)

# Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations
<a name="orgs_manage_accounts_create-cross-account-role"></a>

Wenn Sie ein Mitgliedskonto als Teil Ihrer Organisation erstellen, erstellt AWS standardmäßig automatisch eine Rolle im Konto, die IAM-Benutzern im Verwaltungskonto, die die Rolle übernehmen können, Administratorberechtigungen erteilt. Standardmäßig hat diese Rolle den Namen `OrganizationAccountAccessRole`. Weitere Informationen finden Sie unter [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).

Für Mitgliedskonten allerdings, die Sie zum Beitritt zur Organisation *einladen*, ***wird nicht*** automatisch eine Admin-Rolle erstellt. Sie müssen dies, wie in der folgenden Prozedur gezeigt, manuell erledigen. Die Prozedur dupliziert die automatisch für erstellte Konten eingerichtete Rolle. Wir empfehlen, dass Sie aus Konsistenzgründen und zur leichteren Erkennbarkeit denselben Namen (`OrganizationAccountAccessRole`) für Ihre manuell erstellten Rollen nutzen.

------
#### [ AWS-Managementkonsole ]

**Um eine AWS Organizations Administratorrolle in einem Mitgliedskonto zu erstellen**

1. Melden Sie sich bei der IAM-Konsole unter an [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Sie müssen sich im Mitgliedskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Stammbenutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)). Der Benutzer oder die Rolle muss über die Berechtigung zum Erstellen von IAM-Rollen und Richtlinien verfügen.

1. Navigieren Sie in der IAM-Konsole zu **Rollen** und wählen Sie dann Rolle **erstellen** aus.

1. Wählen Sie **AWS-Konto**und wählen Sie dann **Andere AWS-Konto** aus.

1. Geben Sie die 12-stellige Konto-ID-Nummer des Verwaltungskontos ein, für das Sie Administratorzugriff gewähren möchten. Beachten Sie unter **Optionen** bitte Folgendes:
   + Da die Konten in Ihrem Unternehmen intern sind, sollten Sie für diese Rolle **nicht** die Option **Externe ID erforderlich** auswählen. Weitere Informationen zur Option „Externe ID“ finden Sie unter [Wann sollte ich eine externe ID verwenden?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) im *IAM-Benutzerhandbuch*. 
   + Wenn Sie MFA aktiviert und konfiguriert haben, können Sie optional eine Authentifizierung mithilfe eines Multi-Factor Authentication (MFA)-Geräts festlegen. Weitere Informationen zu MFA finden Sie unter [Using Multi-Factor Authentication (MFA) AWS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) *IAM-Benutzerhandbuch*. 

1. Wählen Sie **Weiter** aus.

1. **Wählen Sie auf der Seite „**Berechtigungen hinzufügen**“ die AWS verwaltete Richtlinie mit dem Namen aus `AdministratorAccess` und klicken Sie dann auf Weiter.**

1. Geben Sie auf der Seite **Name, Überprüfung und Erstellung** einen Rollennamen und eine optionale Beschreibung an. Wir empfehlen, dass Sie zur Übereinstimmung mit dem Standardnamen für die Rolle in neuen Konten den Namen „`OrganizationAccountAccessRole`“ verwenden. Wählen Sie **Create Role** (Rolle erstellen) aus, um Ihre Änderungen zu übernehmen.

1. Die neue Rolle erscheint in der Liste der verfügbaren Rollen. Wählen Sie den Namen der neuen Rolle aus, um die Details anzuzeigen. Beachten Sie dabei besonders die angegebene Link-URL. Geben Sie diese URL an die Benutzer im Mitgliedskonto weiter, die Zugriff auf die Rolle benötigen. Notieren Sie sich außerdem den **Role ARN (Rollen-ARN)**. Sie benötigen ihn in Schritt 15.

1. Melden Sie sich bei der IAM-Konsole an unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Melden Sie sich jetzt als derjenige Benutzer im Verwaltungskonto an, der die Berechtigungen zur Erstellung von Richtlinien hat, und weisen Sie die Richtlinien für die Benutzer oder Gruppen zu.

1. Navigieren Sie zu **Richtlinien** und wählen Sie dann **Richtlinie erstellen** aus.

1. Wählen Sie unter **Service** die Option **STS** aus.

1. Für **Actions** geben Sie **AssumeRole** in das Feld **Filter** ein und aktivieren Sie dann das Kontrollkästchen daneben, wenn es angezeigt wird.

1. Stellen Sie sicher, dass unter **Ressourcen** die Option **Spezifisch** ausgewählt ist, und wählen Sie dann **Hinzufügen** aus ARNs.

1. Geben Sie die AWS Mitgliedskonto-ID-Nummer und dann den Namen der Rolle ein, die Sie zuvor in den Schritten 1—8 erstellt haben. Wählen Sie **Hinzufügen ARNs** aus.

1. Wenn Sie die Berechtigung zur Übernahme der Rolle in mehreren Mitgliedskonten erteilen, wiederholen Sie die Schritte 14 und 15 für jedes Konto.

1. Wählen Sie **Weiter** aus.

1. Geben Sie auf der Seite **Überprüfen und erstellen** einen Namen für die neue Richtlinie ein und wählen Sie dann **Richtlinie erstellen** aus, um Ihre Änderungen zu speichern.

1. Wählen Sie im Navigationsbereich **Benutzergruppen** und dann den Namen der Gruppe (nicht das Kontrollkästchen) aus, mit der Sie die Verwaltung des Mitgliedskontos delegieren möchten.

1. Wählen Sie die Registerkarte **Berechtigungen**.

1. Wählen Sie **Berechtigungen hinzufügen**, dann **Richtlinien anhängen** und wählen Sie dann die Richtlinie aus, die Sie in den Schritten 11—18 erstellt haben.

------

Die Benutzer, die Mitglieder der ausgewählten Gruppe sind, können nun die Daten URLs , die Sie in Schritt 9 erfasst haben, verwenden, um auf die Rollen der einzelnen Mitgliedskonten zuzugreifen. Sie können auf diese Mitgliedskonten so zugreifen wie beim Zugriff auf ein in der Organisation erstelltes Konto. Weitere Informationen über die Verwendung der Rolle zur Administration eines Mitgliedskontos finden Sie unter [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md). 

# Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations
<a name="orgs_manage_accounts_access-cross-account-role"></a>

Wenn Sie über die AWS Organizations Konsole ein Mitgliedskonto erstellen, AWS Organizations *wird automatisch* eine IAM-Rolle mit dem Namen `OrganizationAccountAccessRole` des Kontos erstellt. Diese Rolle hat volle administrative Berechtigungen im Mitgliedskonto. Der Zugriffsumfang für diese Rolle umfasst alle Hauptbenutzer im Verwaltungskonto, sodass die Rolle so konfiguriert ist, dass sie diesen Zugriff auf das Verwaltungskonto der Organisation gewährt.

Sie können eine identische Rolle für ein eingeladenes Mitgliedskonto erstellen, indem Sie entsprechend der Schritte in [Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations](orgs_manage_accounts_create-cross-account-role.md) vorgehen.

Um diese Rolle für den Zugriff auf das Mitgliedskonto zu verwenden, müssen Sie sich als Benutzer des Verwaltungskonto anmelden, das Berechtigungen zur Annahme der Rolle hat. Führen Sie das folgende Verfahren aus, um diese Berechtigungen zu konfigurieren. Wir empfehlen, dass Sie Berechtigungen zu Gruppen statt zu Benutzern zuweisen. Dies vereinfacht die Wartung.

------
#### [ AWS-Managementkonsole ]

**Erteilen von Berechtigungen zum Zugriff auf die Rolle für Mitglieder einer IAM-Gruppe im Verwaltungskonto**

1. Melden Sie sich bei der IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)als Benutzer mit Administratorrechten im Verwaltungskonto an. Dies ist erforderlich, um Berechtigungen zu der IAM-Gruppe zuzuweisen, deren Benutzer auf die Rolle im Mitgliedskonto zugreifen.

1. <a name="step-create-policy"></a>Erstellen Sie zunächst die verwaltete Richtlinie, die Sie später in [Step 14](#step-choose-group) benötigen. 

   Wählen Sie im Navigationsbereich **Policies (Richtlinien)** und dann **Create policy (Richtlinie erstellen)** aus.

1. Wählen Sie auf der Registerkarte Visual Editor die Option **Dienst auswählen aus, geben Sie **STS** in das Suchfeld ein**, um die Liste zu filtern, und wählen Sie dann die Option **STS** aus.

1. Geben Sie im Abschnitt **Aktionen** **assume** in das Suchfeld ein, um die Liste zu filtern, und wählen Sie dann die **AssumeRole**Option aus.

1. Wählen Sie im Abschnitt **Ressourcen** die Option **Spezifisch** und anschließend **Hinzufügen ARNs**

1. Wählen **Sie im Abschnitt ARN (s) angeben** die Option **Anderes Konto** für Ressource in aus.

1. Geben Sie die ID des Mitgliedskontos ein, das Sie gerade erstellt haben

1. Geben Sie unter **Name der Ressourcenrolle mit Pfad** den Namen der Rolle ein, die Sie im vorherigen Abschnitt erstellt haben (wir empfehlen, sie zu benennen`OrganizationAccountAccessRole`).

1. Wählen **Sie Hinzufügen ARNs**, wenn das Dialogfeld den richtigen ARN anzeigt.

1. (Optional) Wenn Sie eine Multi-Factor Authentication (MFA) anfordern oder den Zugriff auf die Rolle aus einem angegebenen IP-Adressbereich einschränken möchten, erweitern Sie den Abschnitt „Request conditions (Anforderungsbedingungen)“ und wählen die Optionen aus, die Sie durchsetzen möchten.

1. Wählen Sie **Weiter** aus.

1. Geben Sie auf der Seite **Überprüfen und erstellen** einen Namen für die neue Richtlinie ein. Beispiel: **GrantAccessToOrganizationAccountAccessRole**. Optional können Sie auch eine Beschreibung eingeben. 

1. <a name="step-end-policy"></a>Wählen Sie **Create policy (Richtlinie erstellen)** aus, um die neue verwaltete Richtlinie zu speichern.

1. <a name="step-choose-group"></a>Da die Richtlinie jetzt verfügbar ist, können Sie diese einer Gruppe anfügen.

   Wählen Sie im Navigationsbereich **Benutzergruppen** und dann den Namen der Gruppe (nicht das Kontrollkästchen) aus, deren Mitglieder Sie die Rolle im Mitgliedskonto übernehmen möchten. Falls erforderlich, können Sie eine neue Gruppe erstellen.

1. Wählen Sie die Registerkarte **Permissions (Berechtigungen)**, wählen Sie **Add permissions (Berechtigungen hinzufügen)** und wählen Sie dann **Attach policies (Richtlinien anhängen)**.

1. (Optional) Sie können im Feld **Search (Suchen)** mit der Eingabe des Namens Ihrer Richtlinie beginnen, um die Liste zu filtern, bis Ihnen der Name der Richtlinie angezeigt wird, die Sie gerade in [Step 2](#step-create-policy) über [Step 13](#step-end-policy) erstellt haben. Sie können auch alle AWS verwalteten Richtlinien herausfiltern, indem Sie **Alle Typen** und dann vom **Kunden verwaltet** auswählen.

1. Markieren Sie das Kästchen neben Ihrer Richtlinie und wählen Sie dann **Richtlinien anhängen** aus.

------

IAM-Benutzer, die Mitglieder der Gruppe sind, sind jetzt berechtigt, mithilfe des folgenden Verfahrens zur neuen Rolle in der AWS Organizations Konsole zu wechseln.

------
#### [ AWS-Managementkonsole ]

**So wechseln Sie zur Rolle für das Mitgliedskonto**

Wenn er die Rolle verwendet, hat der Benutzer Administratorberechtigungen im neuen Mitgliedskonto. Weisen Sie Ihre IAM-Benutzer an, die Mitglieder der Gruppe sind, die folgenden Schritte auszuführen, um zur neuen Rolle zu wechseln. 

1. **Wählen Sie in der oberen rechten Ecke der AWS Organizations Konsole den Link aus, der Ihren aktuellen Anmeldenamen enthält, und klicken Sie dann auf Rolle wechseln.**

1. Geben Sie die von Ihrem Administrator erhaltene Konto-ID und den Rollennamen ein.

1. Geben Sie unter **Display Name (Anzeigename)** den Text ein, der während der Verwendung der Rolle in der Navigationsleiste in der oberen rechten Ecke statt Ihres Benutzernamens angezeigt werden soll. Optional können Sie eine Farbe auswählen.

1. Wählen Sie **Switch Role**. Nun werden alle von Ihnen ausgeführten Aktionen mit den für die gewählte Rolle gewährten Berechtigungen ausgeführt. Solange Sie nicht zurück wechseln, müssen die Berechtigungen nicht Ihrem ursprünglichen IAM-Benutzer zugewiesen werden.

1. Nach der Ausführung von Aktionen, für die Sie die Berechtigungen der Rolle benötigen, können Sie zum normalen IAM-Benutzer zurückwechseln. **Wählen Sie den Rollennamen in der oberen rechten Ecke aus (den Namen, den Sie als **Anzeigenamen** angegeben haben) und wählen Sie dann Zurück zu. *UserName***

------

# Schließung eines Mitgliedskontos in einer Organisation mit AWS Organizations
<a name="orgs_manage_accounts_close"></a>

Wenn Sie in Ihrer Organisation kein Mitgliedskonto mehr benötigen, können Sie es von der [AWS Organizations Konsole](https://console.aws.amazon.com/organizations/v2) aus schließen, indem Sie den Anweisungen in diesem Thema folgen. Sie können ein Mitgliedskonto nur dann über die AWS Organizations Konsole schließen, wenn sich Ihre Organisation im Modus „[Alle Funktionen](orgs_getting-started_concepts.md#feature-set-all)“ befindet.

Sie können ein Konto auch AWS-Konto direkt von der [https://console.aws.amazon.com/billing/home#/account](https://console.aws.amazon.com/billing/home#/account) aus schließen, AWS-Managementkonsole nachdem Sie sich als Root-Benutzer angemeldet haben. step-by-stepEine Anleitung dazu finden Sie AWS-Konto im *Leitfaden zur AWS Kontoverwaltung unter* [Schließen eines](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html). 

Informationen zum Schließen eines Verwaltungskontos finden Sie unter[Schließung eines Verwaltungskontos in Ihrer Organisation](orgs_manage_accounts_close_management.md).

## Schließen Sie ein Mitgliedskonto
<a name="orgs_account_close_proc"></a>

Wenn Sie sich im Verwaltungskonto der Organisation anmelden, können Sie Mitgliedskonten schließen, die Teil Ihrer Organisation sind. Führen Sie dazu die folgenden Schritte aus.

**Wichtig**  
Bevor Sie Ihr Mitgliedskonto schließen, empfehlen wir Ihnen dringend, die Überlegungen zu lesen und sich darüber im Klaren zu sein, welche Auswirkungen die Schließung eines Kontos hat. Weitere Informationen finden [Sie im Leitfaden zur Kontoverwaltung unter Was Sie vor der Schließung Ihres Kontos wissen müssen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) *und Was Sie nach der Schließung Ihres AWS Kontos* [erwarten](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) können.

------
#### [ AWS Management Console ]

**So schließen Sie ein Mitgliedskonto über die AWS Organizations Konsole**

1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich als IAM-Benutzer oder als Root-Benutzer ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) im Verwaltungskonto der Organisation anmelden.

1. Suchen und wählen Sie auf der Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** den Namen des Mitgliedskontos, das Sie schließen möchten. Sie können durch die OU-Hierarchie navigieren oder eine flache Liste von Konten ohne die OU-Struktur anzeigen. 

1. Wählen Sie oben auf der Seite neben dem Kontonamen **Close** (Schließen) aus. Diese Option ist nur verfügbar, wenn sich eine AWS Organisation im Modus „[Alle Funktionen](orgs_getting-started_concepts.md#feature-set-all)“ befindet.
**Anmerkung**  
Wenn Ihre Organisation den Modus „[Konsolidierte Abrechnung](orgs_getting-started_concepts.md#feature-set-cb-only)“ verwendet, wird die Schaltfläche „**Schließen**“ in der Konsole nicht angezeigt. Um ein Konto im konsolidierten Abrechnungsmodus zu schließen, melden Sie sich als Root-Benutzer bei dem Konto an, das Sie schließen möchten. Wählen Sie auf der Seite **Konten** die Schaltfläche **Konto schließen**, geben Sie Ihre Konto-ID ein und wählen Sie dann die Schaltfläche **Konto schließen**.

1. Lesen Sie die Hinweise zur Kontoschließung und stellen Sie sicher, dass Sie sie verstanden haben.

1. Geben Sie die Mitgliedskonto-ID ein und wählen Sie dann **Konto schließen** aus. 

**Anmerkung**  
Für jedes Mitgliedskonto, das Sie schließen, wird in der AWS Organizations Konsole bis zu 90 Tage nach dem ursprünglichen Schließdatum neben dem Kontonamen ein `CLOSED` Etikett angezeigt. Nach 90 Tagen wird das Mitgliedskonto dauerhaft geschlossen und nicht mehr in der AWS Organizations Konsole angezeigt. Bitte beachten Sie, dass es einige Tage dauern kann, bis das Konto nach der dauerhaften Schließung aus der Organisation entfernt wird.

**Um ein Mitgliedskonto von der Kontoseite aus zu schließen**

Optional können Sie ein AWS Mitgliedskonto direkt auf der Seite **Konten** im schließen AWS-Managementkonsole. Weitere step-by-step Informationen finden Sie in den Anweisungen unter [Schließen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) und AWS-Konto im *Leitfaden zur AWS Kontoverwaltung*.

------
#### [ AWS CLI & AWS SDKs ]

**Um ein zu schließen AWS-Konto**  
Sie können einen der folgenden Befehle verwenden, um ein Konto zu schließen:
+ AWS CLI: [close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)

  ```
  $ aws organizations close-account \
      --account-id 123456789012
  ```

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
+ AWS SDKs: [CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)

------

# Schutz von Mitgliedskonten vor Schließung mit AWS Organizations
<a name="orgs_account_close_policy"></a>

Um Mitgliedskonten vor einer versehentlichen Schließung zu schützen, erstellen Sie eine IAM-Richtlinie, die festlegt, welche Konten ausgenommen sind. Diese Richtlinie verhindert die Schließung geschützter Mitgliedskonten.

Erstellen Sie mit einer der folgenden Methoden eine IAM-Richtlinie, um die Schließung von Konten zu verweigern:
+ Führen Sie geschützte Konten explizit im `Resource` Element der Richtlinie auf, indem Sie ihre ARNs verwenden.
+ Kennzeichnen Sie einzelne Konten und verwenden Sie den `aws:ResourceTag` globalen Bedingungsschlüssel, um die Schließung markierter Konten zu verhindern.

**Anmerkung**  
Die Dienststeuerungsrichtlinien (SCPs) wirken sich nicht auf die IAM-Prinzipale im Verwaltungskonto aus.

## Beispiele für IAM-Richtlinien, die Schließungen von Mitgliedskonten verhindern
<a name="orgs_close_account_policy_examples"></a>

Die folgenden Codebeispiele zeigen zwei verschiedene Methoden, mit denen Sie verhindern können, dass Mitgliedskonten ihr Konto schließen.

------
#### [ Prevent member accounts with tags from getting closed  ]

Sie können die folgende Richtlinie an eine Identität in Ihrem Verwaltungskonto anfügen. Diese Richtlinie hindert Prinzipale im Verwaltungskonto daran, Mitgliedskonten zu schließen, die mit dem globalen Bedingungsschlüssel des `aws:ResourceTag`-Tags, dem `AccountType`-Schlüssel und dem `Critical`-Tag-Wert gekennzeichnet sind.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
```

------
#### [ Prevent member accounts listed in this policy from getting closed ]

Sie können die folgende Richtlinie an eine Identität in Ihrem Verwaltungskonto anfügen. Diese Richtlinie verhindert, dass Prinzipale im Verwaltungskonto Mitgliederkonten schließen, die explizit im `Resource`-Element angegeben wurden. 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}
```

------

# Entfernen eines Mitgliedskontos aus einer Organisation mit AWS Organizations
<a name="orgs_manage_accounts_remove"></a>

 Wenn ein Mitgliedskonto entfernt wird, wird das Konto nicht geschlossen, sondern aus der Organisation entfernt. Das ehemalige Mitgliedskonto wird zu einem eigenständigen Konto AWS-Konto , das nicht mehr von verwaltet wird AWS Organizations.

Danach unterliegt das Konto keinen Richtlinien mehr und ist für die Zahlung der eigenen Rechnungen zuständig. Dem Verwaltungskonto der Organisation werden keine Kosten mehr in Rechnung gestellt, die für das Konto angefallen sind, nachdem es aus der Organisation entfernt wurde.

## Überlegungen
<a name="orgs_manage_account-before-remove"></a>

**Vom Verwaltungskonto erstellte IAM-Zugriffsrollen werden nicht automatisch gelöscht**

Wenn Sie ein Mitgliedskonto aus der Organisation entfernen, werden alle IAM-Rollen, die erstellt wurden, um den Zugriff durch das Verwaltungskonto der Organisation zu ermöglichen, nicht automatisch gelöscht. Wenn Sie diesen Zugriff vom Verwaltungskonto der früheren Organisation beenden möchten, müssen Sie die IAM-Rolle manuell löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

**Sie können ein Konto nur dann aus Ihrer Organisation entfernen, wenn das Konto die Informationen enthält, die für den Betrieb als eigenständiges Konto erforderlich sind**

Sie können ein Konto nur dann aus Ihrer Organisation entfernen, wenn es über die erforderlichen Informationen verfügt, um als eigenständiges Konto zu funktionieren. Wenn Sie mithilfe der AWS Organizations Konsole, der API oder AWS CLI Befehle ein Konto in einer Organisation erstellen, werden *nicht* alle Informationen, die für eigenständige Konten erforderlich sind, automatisch erfasst.

Für jedes Konto, das Sie eigenständig einrichten möchten, müssen Sie einen Supportplan auswählen, die erforderlichen Kontaktinformationen angeben und überprüfen und eine aktuelle Zahlungsmethode angeben. AWS verwendet die Zahlungsmethode, um alle fakturierbaren AWS Aktivitäten (nicht das AWS kostenlose Kontingent) in Rechnung zu stellen, die stattfinden, während das Konto keiner Organisation zugeordnet ist. Um ein Konto zu entfernen, das noch nicht über diese Informationen verfügt, befolgen Sie die Schritte unter [Verlassen einer Organisation aus einem Mitgliedskonto bei AWS Organizations](orgs_manage_accounts_leave-as-member.md).

**Sie müssen mindestens vier Tage warten, nachdem das Konto erstellt wurde**

Um ein Konto zu entfernen, das Sie in der Organisation erstellt haben, müssen Sie mindestens vier Tage warten, nachdem das Konto erstellt wurde. Eingeladene Konten unterliegen dieser Wartezeit nicht. 

**Der Inhaber des Kontos, das das Konto verlässt, ist für alle neu aufgelaufenen Kosten verantwortlich**

In dem Moment, in dem das Konto das Unternehmen erfolgreich verlässt, ist der Inhaber des Kontos für alle neu aufgelaufenen AWS Kosten verantwortlich, und es AWS-Konto wird die Zahlungsmethode des Kontos verwendet. Das Verwaltungskonto der Organisation ist nicht mehr verantwortlich.

**Bei dem Konto kann es sich nicht um ein delegiertes Administratorkonto für einen AWS Dienst handeln, der für die Organisation aktiviert ist**

Bei dem Konto, das Sie entfernen möchten, darf es sich nicht um ein delegiertes Administratorkonto für einen AWS Dienst handeln, der für Ihre Organisation aktiviert ist. Wenn es sich bei dem Konto um einen delegierten Administrator handelt, müssen Sie zuerst das delegierte Administratorkonto in ein anderes Konto ändern, das in der Organisation verbleibt. Weitere Informationen zum Deaktivieren oder Ändern des delegierten Administratorkontos für einen AWS Dienst finden Sie in der Dokumentation zu diesem Dienst.

**Das Konto hat keinen Zugriff mehr auf Kosten- und Nutzungsdaten**

Wenn ein Mitgliedskonto eine Organisation verlässt, hat das Konto keinen Zugriff mehr auf Kosten- und Nutzungsdaten aus dem Zeitraum, als das Konto ein Mitglied der Organisation war. Das Verwaltungskonto der Organisation kann jedoch weiterhin auf die Daten zugreifen. Wenn das Konto der Organisation wieder beitritt, kann das Konto wieder auf die Daten zugreifen.

**Dem Konto zugeordnete Tags werden gelöscht**

Wenn ein Mitgliedskonto eine Organisation verlässt, werden alle dem Konto zugeordneten Tags gelöscht.

**Die Hauptbenutzer im Konto sind nicht mehr von den Unternehmensrichtlinien betroffen**

Die Prinzipale im Konto sind nicht mehr von [Richtlinien](orgs_manage_policies.md) betroffen, die in der Organisation angewendet wurden. Das bedeutet, dass die von auferlegten Einschränkungen SCPs wegfallen und die Benutzer und Rollen im Konto möglicherweise über mehr Berechtigungen verfügen als zuvor. Andere Organisationsrichtlinientypen können nicht mehr erzwungen oder verarbeitet werden. 

**Das Konto ist nicht mehr durch Organisationsvereinbarungen abgedeckt**

Wenn ein Mitgliedskonto aus einer Organisation entfernt wird, gelten Organisationsvereinbarungen für dieses Konto nicht mehr. Verwaltungskonto-Administratoren sollten Mitgliedskonten hiervon benachrichtigen, bevor sie die Konten aus der Organisation entfernen, so dass die Mitgliedskonten nötigenfalls neue Vereinbarungen einrichten können. Eine Liste der aktiven Organisationsvereinbarungen kann in der AWS Artifact Konsole auf der Seite [AWS Artifact Organisationsvereinbarungen](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements) eingesehen werden.

**Die Integration mit anderen Diensten ist möglicherweise deaktiviert**

Die Integration mit anderen Services wird möglicherweise deaktiviert. Wenn Sie ein Konto aus einer Organisation entfernen, für die die Integration mit einem AWS Dienst aktiviert ist, können die Benutzer dieses Kontos diesen Dienst nicht mehr verwenden.

## Ein Mitgliedskonto aus einer Organisation entfernen
<a name="orgs_manage_accounts_remove-member-account"></a>

Wenn Sie sich am Verwaltungskonto der Organisation anmelden, können Sie Mitgliedskonten, die Sie nicht mehr benötigen, aus der Organisation entfernen. Um dies zu tun, führen Sie die folgenden Schritte aus. Dieses Verfahren gilt nur für Mitgliedskonten. Um das Verwaltungskonto zu entfernen, müssen Sie die [Organisation löschen](orgs_manage_org_delete.md).

**Mindestberechtigungen**  
Um einzelne oder mehrere Mitgliedskonten entfernen zu können, müssen Sie als Benutzer oder Rolle beim Verwaltungskonto angemeldet sein und über folgende Berechtigungen verfügen:  
`organizations:DescribeOrganization` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden
`organizations:RemoveAccountFromOrganization` 
Wenn Sie sich in Schritt 5 als Benutzer oder Rolle bei einem Mitgliedskonto anmelden, muss dieser Benutzer oder diese Rolle über folgende Berechtigungen verfügen:  
`organizations:DescribeOrganization` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden
`organizations:LeaveOrganization` – Beachten Sie, dass der Administrator der Organisation eine Richtlinie auf Ihr Konto anwenden kann, mit der diese Berechtigung entfernt wird, sodass Sie Ihr Konto nicht aus der Organisation entfernen können.
Wenn Sie sich als IAM-Benutzer anmelden und dem Konto Zahlungsinformationen fehlen, muss der Benutzer entweder über `aws-portal:ModifyBilling` und `aws-portal:ModifyPaymentMethods` Berechtigungen (wenn das Konto noch nicht zu detaillierten Berechtigungen migriert wurde) ODER über `payments:CreatePaymentInstrument` und `payments:UpdatePaymentPreferences` Berechtigungen (wenn das Konto zu detaillierten Berechtigungen migriert wurde) verfügen. Außerdem muss für das Mitgliedskonto ein IAM-Benutzerzugriff auf die Abrechnung aktiviert sein. Wenn dies nicht bereits aktiviert ist, finden Sie weitere Informationen unter [Den Zugriff auf die Fakturierung und Kostenmanagement-Konsole aktivieren](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) im *AWS Billing -Benutzerhandbuch*.

------
#### [ AWS-Managementkonsole ]

**Entfernen eines Mitgliedskontos aus Ihrer Organisation**

1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

1. Suchen Sie auf der Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** das Kontrollkästchen![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/checkbox-selected.png) neben jedem Mitgliedskonto, das Sie aus Ihrer Organisation entfernen möchten, und aktivieren Sie es. Sie können in der Organisationseinheitenhierarchie navigieren oder die ** AWS-Konten Option Nur anzeigen** aktivieren, um eine pauschale Liste von Konten ohne die Organisationsstruktur anzuzeigen. Wenn Sie viele Konten haben, müssen Sie möglicherweise unten in der Liste **Weitere Konten in '*ou-name*' laden** auswählen, um alle Konten zu finden, die Sie verschieben möchten.

   Suchen Sie auf der Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** den Namen des Mitgliedskontos, das Sie aus Ihrer Organisation entfernen möchten, und wählen Sie ihn aus. Möglicherweise müssen Sie die Liste erweitern OUs (auswählen![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/console-expand.png)), um das gewünschte Konto zu finden.

1. Wählen Sie **Aktionen** und dann unter **AWS-Konto** die Option **Aus Organisation entfernen** aus.

1. Unter ***Konto 'Kontoname*' (\$1 *account-id-num*) aus der Organisation entfernen**? Wählen Sie im Dialogfeld Konto **entfernen** aus.

1. Wenn AWS Organizations eines oder mehrere Konten nicht entfernt werden können, liegt das in der Regel daran, dass Sie nicht alle erforderlichen Informationen angegeben haben, damit das Konto als eigenständiges Konto betrieben werden kann. Führen Sie die folgenden Schritte aus:

   1. Melden Sie sich den fehlgeschlagenen Konten an. Wir empfehlen Ihnen, sich beim Mitgliedskonto anzumelden, indem Sie **Copy link** auswählen und ihn dann in die Adressleiste eines neuen Inkognito-Browserfensters einfügen. Wenn der **Link Kopieren** nicht angezeigt wird, verwenden Sie [diesen Link](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True), um **zur AWS Anmeldeseite** zu gelangen und die fehlenden Registrierungsschritte abzuschließen. Wenn Sie kein Inkognito-Fenster verwenden, sind Sie vom Verwaltungskonto abgemeldet und können nicht mehr zu diesem Dialogfeld zurücknavigieren.

   1. Der Browser führt Sie direkt zum Anmeldevorgang, um die für dieses Konto fehlenden Schritte abzuschließen. Führen Sie alle aufgeführten Schritte aus. Dazu kann Folgendes gehören:
      + Kontaktinformationen bereitstellen
      + Gültige Zahlungsmethode angeben
      + Telefonnummer bestätigen
      + Support-Plan auswählen

   1. Nachdem Sie den letzten Anmeldeschritt abgeschlossen haben, leitet Ihr Browser AWS automatisch zur AWS Organizations Konsole für das Mitgliedskonto weiter. Wählen Sie **Leave organization** aus und bestätigen Sie Ihre Wahl im Bestätigungsdialog. Sie werden zur Seite **Getting Started** der AWS Organizations -Konsole weitergeleitet. Hier können Sie alle ausstehenden Einladungen für Ihr Konto zum Beitritt zu anderen Organisationen sehen.

   1. Entfernen Sie die IAM-Rollen, die Zugriff auf Ihr Konto gewähren, aus der Organisation.
**Wichtig**  
Wenn Ihr Konto in der Organisation erstellt wurde, hat Organizations automatisch eine IAM-Rolle in dem Konto erstellt, mit dem der Zugriff durch das Verwaltungskonto der Organisation aktiviert wurde. Wenn das Konto zum Beitritt eingeladen wurde, hat Organizations eine solche Rolle nicht automatisch erstellt, allerdings haben möglicherweise Sie oder ein anderer Administrator eine entsprechende Rolle erstellt, um dieselben Vorteile zu erhalten. In beiden Fällen wird beim Entfernen des Kontos aus der Organisation eine solche Rolle nicht automatisch gelöscht. Wenn Sie diesen Zugriff aus dem Verwaltungskonto der früheren Organisation beenden möchten, müssen Sie diese IAM-Rolle manuell löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

------
#### [ AWS CLI & AWS SDKs ]

**Entfernen eines Mitgliedskontos aus Ihrer Organisation**  
Sie können einen der folgenden Befehle verwenden, um ein Mitgliedskonto zu entfernen:
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)

  ```
  $ aws organizations remove-account-from-organization \
      --account-id 123456789012
  ```

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
+ AWS SDKs: [RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)

Nachdem das Mitgliedskonto aus der Organisation entfernt wurde, stellen Sie sicher, dass Sie die IAM-Rollen, die Zugriff auf Ihr Konto gewähren, aus der Organisation.

**Wichtig**  
Wenn Ihr Konto in der Organisation erstellt wurde, hat Organizations automatisch eine IAM-Rolle in dem Konto erstellt, mit dem der Zugriff durch das Verwaltungskonto der Organisation aktiviert wurde. Wenn das Konto zum Beitritt eingeladen wurde, hat Organizations eine solche Rolle nicht automatisch erstellt, allerdings haben möglicherweise Sie oder ein anderer Administrator eine entsprechende Rolle erstellt, um dieselben Vorteile zu erhalten. In beiden Fällen wird beim Entfernen des Kontos aus der Organisation eine solche Rolle nicht automatisch gelöscht. Wenn Sie diesen Zugriff aus dem Verwaltungskonto der früheren Organisation beenden möchten, müssen Sie diese IAM-Rolle manuell löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

Mitgliedskonten können sich stattdessen mit [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html) selbst entfernen. Weitere Informationen finden Sie unter [Verlassen einer Organisation aus einem Mitgliedskonto bei AWS Organizations](orgs_manage_accounts_leave-as-member.md).

------

# Verlassen einer Organisation aus einem Mitgliedskonto bei AWS Organizations
<a name="orgs_manage_accounts_leave-as-member"></a>

Wenn Sie sich mit einem Mitgliedskonto anmelden, können Sie eine Organisation verlassen. Das Verwaltungskonto darf die Organisation nicht mittels dieser Methode verlassen. Um das Verwaltungskonto zu entfernen, müssen Sie die [Organisation löschen](orgs_manage_org_delete.md).

## Überlegungen
<a name="orgs_manage_accounts_leave-as-member-considerations"></a>

**Der Status eines Kontos bei einer Organisation wirkt sich darauf aus, welche Kosten- und Nutzungsdaten sichtbar sind**

Konten haben weiterhin Zugriff auf alle Rechnungen, die ihnen in der Vergangenheit zugestellt wurden, und auf alle von ihnen generierten Rechnungsdaten, unabhängig davon, ob sich die Mitgliedschaft der Organisation geändert hat. Die Sichtbarkeit der Cost Explorer Explorer-Daten hängt jedoch von der aktuellen Mitgliedschaft der Organisation ab. Die folgende Tabelle zeigt, wie sich drei häufig vorkommende Kontoübergänge auf die Datensichtbarkeit auswirken:


****  

|  | Verfügbarkeit von Rechnungen | Verfügbarkeit von Rechnungen (z. B. Seite Rechnungen) | Verfügbarkeit von Cost Explorer | 
| --- | --- | --- | --- | 
| Szenario 1Das Mitgliedskonto verlässt OrganizationA und wird zu einem eigenständigen Konto | Das Konto behält den Zugriff auf alle historischen Rechnungen, die ihm zugestellt wurden. | Das Konto behält den Zugriff auf alle historischen Rechnungsdaten, die es als Mitglied von OrganizationA generiert hat. | Das Konto verliert den Zugriff auf historische Kosten- und Nutzungsdaten, die es als Mitglied von OrganizationA generiert hat. | 
| Szenario 2Das Mitgliedskonto verlässt Organisation A und tritt Organisation B bei | Das Konto behält den Zugriff auf alle historischen Rechnungen, die ihm zugestellt wurden. | Das Konto behält den Zugriff auf alle historischen Rechnungsdaten, die es als Mitglied von OrganizationA generiert hat. | Das Konto verliert den Zugriff auf historische Kosten- und Nutzungsdaten, die es als Mitglied von OrganizationA generiert hat. | 
| Szenario 3Das Konto tritt wieder einer Organisation bei, der es zuvor angehört hat | Das Konto behält den Zugriff auf alle historischen Rechnungen, die ihm zugestellt wurden. | Das Konto behält den Zugriff auf alle historischen Rechnungsdaten, die es generiert hat (unabhängig davon, ob es sich um ein eigenständiges Konto oder als Mitglied einer anderen Organisation handelt). | Das Konto erhält während der gesamten Zeit, in der es Mitglied der Organisation war, wieder Zugriff auf Kosten- und Nutzungsdaten, verliert jedoch den Zugriff auf alle historischen Kosten- und Nutzungsdaten, die außerhalb der aktuellen Organisation generiert wurden. | 

**Für das Konto gelten keine Organisationsvereinbarungen mehr, die in seinem Namen akzeptiert wurden**

Wenn Sie eine Organisation verlassen, gelten Organisationsvereinbarungen für Sie nicht mehr, die in Ihrem Namen vom Verwaltungskonto der Organisation akzeptiert wurden. Sie können eine Liste dieser Organisationsvereinbarungen in der AWS Artifact Konsole auf der Seite [AWS Artifact Organisationsvereinbarungen](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements) einsehen. Bevor Sie die Organisation verlassen, sollten Sie ermitteln (bei Bedarf mit Unterstützung der für rechtliche Angelegenheiten, Datenschutz oder Compliance zuständigen Teams), ob es für Sie notwendig ist, (eine) neue Vereinbarung(en) abzuschließen.

**Die Kontingentgrenzen des Kontos können sich ändern und Auswirkungen haben**

Wenn Sie eine Organisation als Mitgliedskonto verlassen, kann sich dies auf die für dieses Konto verfügbaren Servicekontingentlimits auswirken. Wenn Sie automatisierte Workloads haben, für die höhere Limits erforderlich sind, überprüfen Sie bitte nach dem Verlassen der Organisation erneut Ihre Kontingente in der Servicekontingenten-Konsole, um einen unterbrechungsfreien Betrieb zu gewährleisten. Bitte wenden Sie sich nach dem Verlassen der Organisation an das [AWS Support Center](https://console.aws.amazon.com/support/home#/), um Unterstützung zu erhalten.

## Verlassen Sie eine Organisation über ein Mitgliedskonto
<a name="orgs_manage_accounts_leave-as-member-steps"></a>

Gehen Sie wie folgt vor, um eine Organisation zu verlassen.

**Mindestberechtigungen**  
Zum Verlassen einer -Organisation benötigen Sie folgende Berechtigungen:  
`organizations:DescribeOrganization` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden
`organizations:LeaveOrganization` – Beachten Sie, dass der Administrator der Organisation eine Richtlinie auf Ihr Konto anwenden kann, mit der diese Berechtigung entfernt wird, sodass Sie Ihr Konto nicht aus der Organisation entfernen können.
Wenn Sie sich als IAM-Benutzer anmelden und dem Konto Zahlungsinformationen fehlen, muss der Benutzer entweder über `aws-portal:ModifyBilling` und `aws-portal:ModifyPaymentMethods` Berechtigungen (wenn das Konto noch nicht zu detaillierten Berechtigungen migriert wurde) ODER über `payments:CreatePaymentInstrument` und `payments:UpdatePaymentPreferences` Berechtigungen (wenn das Konto zu detaillierten Berechtigungen migriert wurde) verfügen. Außerdem muss für das Mitgliedskonto ein IAM-Benutzerzugriff auf die Abrechnung aktiviert sein. Wenn dies nicht bereits aktiviert ist, finden Sie weitere Informationen unter [Den Zugriff auf die Fakturierung und Kostenmanagement-Konsole aktivieren](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) im *AWS Billing -Benutzerhandbuch*.

------
#### [ AWS-Managementkonsole ]

**So verlassen Sie eine Organisation in Ihrem Mitgliedskonto**

1. Melden Sie sich an der AWS Organizations Konsole auf der [AWS Organizations Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Mitgliedskonto als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

   Standardmäßig haben Sie keinen Zugriff auf das Root-Benutzerkennwort in einem Mitgliedskonto, das mit erstellt wurde AWS Organizations. Falls erforderlich, stellen Sie das Root-Benutzerkennwort wieder her, indem Sie die Schritte **unter Verwenden des Root-Benutzers (nicht für alltägliche Aufgaben empfohlen)** unter ausführen[Zugreifen auf Mitgliedskonten in einer Organisation mit AWS Organizations](orgs_manage_accounts_access.md).

1. Wählen Sie auf der Seite **[Organisations-Dashboard](https://console.aws.amazon.com/organizations/v2/home/dashboard)** die Option **Diese Organisation verlassen** aus.

1. Wählen Sie im Dialogfeld **Verlassen der Organisation bestätigen?** **Organisation verlassen**. Wenn Sie dazu aufgefordert werden, bestätigen Sie Ihre Wahl, um das Konto zu löschen. Nach der Bestätigung werden Sie auf die Seite **Erste Schritte** der AWS Organizations Konsole weitergeleitet, auf der Sie alle ausstehenden Einladungen für Ihr Konto zum Beitritt zu anderen Organisationen einsehen können.

   Wenn Sie die Meldung **Sie können die Organisation noch nicht verlassen** sehen, verfügt Ihr Konto nicht über alle erforderlichen Informationen, um als eigenständiges Konto betrieben zu werden. In diesem Fall fahren Sie mit dem nächsten Schritt fort.

1. Wenn der **Verlassen der Organisation bestätigen?** Im Dialogfeld wird die Meldung **Sie können die Organisation noch nicht verlassen**, klicken Sie auf den Link **Schritte zur Kontoregistrierung abschließen**.

   Wenn der Link „**Schritte zur Kontoregistrierung abschließen“ nicht angezeigt wird, klicken Sie auf [diesen Link](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True), um zur AWS Anmeldeseite** **zu** gelangen und die fehlenden Registrierungsschritte abzuschließen.

1. Geben Sie auf der ** AWS-Anmeldeseite** alle erforderlichen Informationen ein, um ein eigenständiges Konto zu erstellen. Dies kann die folgenden Arten von Informationen umfassen:
   + Name und Adresse der Kontaktperson
   + Gültige Zahlungsmethode
   + Verifizierung der Telefonnummer
   + Optionen für den Supportplan

1. Wenn Sie das Dialogfenster zum Abschluss des Anmeldevorgangs sehen, wählen Sie **Leave organization** aus.

   Ein Bestätigungsdialogfeld wird angezeigt. Bestätigen Sie Ihre Wahl, um das Konto zu löschen. Sie werden auf die Seite „**Erste Schritte**“ der AWS Organizations Konsole weitergeleitet, auf der Sie alle ausstehenden Einladungen für Ihr Konto zum Beitritt zu anderen Organisationen einsehen können.

1. Entfernen Sie die IAM-Rollen, die Zugriff auf Ihr Konto gewähren, aus der Organisation.
**Wichtig**  
Wenn Ihr Konto in der Organisation erstellt wurde, hat Organizations automatisch eine IAM-Rolle in dem Konto erstellt, mit dem der Zugriff durch das Verwaltungskonto der Organisation aktiviert wurde. Wenn das Konto zum Beitritt eingeladen wurde, hat Organizations eine solche Rolle nicht automatisch erstellt, allerdings haben möglicherweise Sie oder ein anderer Administrator eine entsprechende Rolle erstellt, um dieselben Vorteile zu erhalten. In beiden Fällen wird beim Entfernen des Kontos aus der Organisation eine solche Rolle nicht automatisch gelöscht. Wenn Sie diesen Zugriff aus dem Verwaltungskonto der früheren Organisation beenden möchten, müssen Sie diese IAM-Rolle manuell löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

------
#### [ AWS CLI & AWS SDKs ]

**Verlassen einer Organisation als Mitgliedskonto**  
Sie können einen der folgenden Befehle verwenden, um eine Organisation zu verlassen:
+ AWS CLI: [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)

  Das folgende Beispiel bewirkt, dass das Konto, dessen Anmeldeinformationen zum Ausführen des Befehls verwendet werden, die Organisation verlässt.

  ```
  $ aws organizations leave-organization
  ```

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
+ AWS SDKs: [LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)

Nachdem das Mitgliedskonto die Organisation verlassen hat, stellen Sie sicher, dass Sie die IAM-Rollen, die Zugriff auf Ihr Konto gewähren, aus der Organisation.

**Wichtig**  
Wenn Ihr Konto in der Organisation erstellt wurde, hat Organizations automatisch eine IAM-Rolle in dem Konto erstellt, mit dem der Zugriff durch das Verwaltungskonto der Organisation aktiviert wurde. Wenn das Konto zum Beitritt eingeladen wurde, hat Organizations eine solche Rolle nicht automatisch erstellt, allerdings haben möglicherweise Sie oder ein anderer Administrator eine entsprechende Rolle erstellt, um dieselben Vorteile zu erhalten. In beiden Fällen wird beim Entfernen des Kontos aus der Organisation eine solche Rolle nicht automatisch gelöscht. Wenn Sie diesen Zugriff aus dem Verwaltungskonto der früheren Organisation beenden möchten, müssen Sie diese IAM-Rolle manuell löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

Mitgliedskonten können [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)stattdessen auch von einem Benutzer im Verwaltungskonto mit entfernt werden. Weitere Informationen finden Sie unter [Ein Mitgliedskonto aus einer Organisation entfernen](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account).

------

# Aktualisierung des Kontonamens für ein Mitgliedskonto mit AWS Organizations
<a name="orgs_manage_accounts_update_name"></a>

Wenn Sie sich beim Verwaltungskonto Ihrer Organisation anmelden, können Sie den Kontonamen für ein Mitgliedskonto aktualisieren. Um zu erfahren, wie Sie den Namen eines Mitgliedskontos aktualisieren, folgen Sie den Schritten unter [Aktualisieren des Kontonamens für jedes AWS-Konto Mitglied Ihrer Organisation](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs) im *AWS -Kontenverwaltung Referenzhandbuch*.

# Aktualisierung der E-Mail-Adresse des Root-Benutzers für ein Mitgliedskonto bei AWS Organizations
<a name="orgs_manage_accounts_update_primary_email"></a>

Um die Sicherheit und die administrative Stabilität zu erhöhen, können IAM-Principals im Verwaltungskonto (die über die erforderlichen IAM-Berechtigungen verfügen) eine Root-Benutzer-E-Mail-Adresse von bezeichnet) für jedes ihrer Mitgliedskonten zentral aktualisieren, ohne sich bei jedem Konto einzeln anmelden zu müssen. Dadurch haben Administratoren im Verwaltungskonto (oder in einem delegierten Administratorkonto) mehr Kontrolle über ihre Mitgliedskonten. Es stellt auch sicher, dass die E-Mail-Adressen von Root-Benutzern, von allen Mitgliedskonten in Ihrem Land auf dem neuesten Stand gehalten werden AWS Organizations können, auch wenn Sie möglicherweise den Zugriff auf die ursprüngliche Root-Benutzer-E-Mail-Adresse, die oder die Administratoranmeldedaten verloren haben.

Wenn die E-Mail-Adresse des Root-Benutzers zentral von einem Administrator des Verwaltungskontos geändert wird, bleiben sowohl das Passwort als auch die MFA-Konfiguration unverändert wie vor der Änderung. Beachten Sie, dass MFA von einem Benutzer umgangen werden kann, der die Kontrolle über die Root-Benutzer-E-Mail-Adresse, die  und die primäre Kontakttelefonnummer eines Kontos hat. 

Um die E-Mail-Adresse des Stammbenutzers in Ihrer Organisation zu aktualisieren, muss Ihre Organisation zuvor den Modus „[Alle Funktionen](orgs_getting-started_concepts.md#feature-set-all)“ aktiviert haben. AWS Organizations im konsolidierten Abrechnungsmodus oder bei Konten, die nicht Teil einer Organisation sind, können ihre Root-Benutzer-E-Mail-Adresse nicht zentral aktualisieren. Die kann nicht zentral aktualisiert werden. Benutzer, die die E-Mail-Adresse des Root-Benutzers () für Konten ändern möchten, die von der API nicht unterstützt werden, sollten weiterhin die Rechnungskonsole verwenden, um ihre Root-Benutzer-E-Mail-Adresse () zu verwalten.

 step-by-stepAnweisungen zum Aktualisieren der Root-Benutzer-E-Mail-Adresse Ihres Mitgliedskontos und der finden Sie unter [Aktualisieren der Root-Benutzer-E-Mail-Adresse von für alle Benutzer AWS-Konto in Ihrer Organisation](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs) im *AWS -Kontenverwaltung Referenzhandbuch*.