Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwaltung von Konten in einer Organisation mit AWS Organizations
<a name="orgs_manage_accounts"></a>

An *AWS-Konto*ist ein Container für Ihre AWS Ressourcen. Sie erstellen und verwalten Ihre AWS Ressourcen in einem AWS-Konto.

In diesem Thema wird beschrieben, wie Sie Konten für verwalten AWS Organizations.

**Topics**
+ [Verwaltungskonto](orgs-manage_accounts_management.md)
+ [Mitgliedskonten](orgs-manage_accounts_members.md)
+ [Kontoeinladungen](orgs_manage_accounts_invites.md)
+ [Migrieren Sie ein Konto](orgs_account_migration.md)
+ [Details eines Kontos anzeigen](orgs_view_account.md)
+ [Kontodetails exportieren](orgs_manage_accounts_export.md)
+ [Überwachen Sie den Kontostatus](orgs_manage_accounts_account_state.md)
+ [Alternative Kontakte für ein Konto aktualisieren](orgs_manage_accounts_update_contacts.md)
+ [Aktualisieren Sie den primären Ansprechpartner für ein Konto](orgs_manage_accounts_update_contacts_primary.md)
+ [Update AWS-Regionen für ein Konto](orgs_manage_accounts_update_enabled_regions.md)

# Verwaltung des Verwaltungskontos mit AWS Organizations
<a name="orgs-manage_accounts_management"></a>

*Ein Verwaltungskonto* ist das, mit dem AWS-Konto Sie Ihre Organisation erstellen.

Das Verwaltungskonto ist der ultimative Eigentümer der Organisation und hat die endgültige Kontrolle über die Sicherheits-, Infrastruktur- und Finanzrichtlinien. Dieses Konto hat die Rolle eines Zahlerkontos und ist für die Zahlung aller Gebühren verantwortlich, die auf den Konten in seiner Organisation anfallen.

In diesem Thema wird beschrieben, wie Sie das Verwaltungskonto mit verwalten. AWS Organizations

**Topics**
+ [Bewährte Methoden für das Verwaltungskonto](orgs_best-practices_mgmt-acct.md)
+ [Schließung eines Verwaltungskontos](orgs_manage_accounts_close_management.md)

# Bewährte Methoden für das Verwaltungskonto
<a name="orgs_best-practices_mgmt-acct"></a>

Befolgen Sie diese Empfehlungen in AWS Organizations, um die Sicherheit des Verwaltungskontos zu schützen. Bei diesen Empfehlungen wird davon ausgegangen, dass Sie sich auch an die [bewährte Methode halten, den Stammbenutzer nur für die Aufgaben zu verwenden, die ihn wirklich erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).

**Topics**
+ [Beschränken des Zugriffs auf das Verwaltungskonto auf bestimmte Personen](#bp_mgmt-acct_limit-access)
+ [Überprüfen und Verfolgen des Zugriffs von Personen](#bp_mgmt-acct_review-access)
+ [Verwenden Sie das Verwaltungskonto nur für Aufgaben, die das Verwaltungskonto ***erfordern***](#bp_mgmt-acct_use-mgmt)
+ [Vermeiden der Bereitstellung von Workloads im Verwaltungskonto der Organisation](#bp_mgmt-acct_avoid-deploying)
+ [Delegieren von Aufgaben außerhalb des Verwaltungskontos zur Dezentralisierung](#bp_mgmt-acct_)

## Beschränken des Zugriffs auf das Verwaltungskonto auf bestimmte Personen
<a name="bp_mgmt-acct_limit-access"></a>

Das Verwaltungskonto ist von zentraler Bedeutung für alle genannten Verwaltungsaufgaben wie Kontoverwaltung, Richtlinien, Integration mit anderen AWS Diensten, konsolidierte Abrechnung usw. Daher sollten Sie den Zugriff auf das Verwaltungskonto auf die Admin-Benutzer beschränken, die Rechte benötigen, um Änderungen an der Organisation vornehmen zu können. 

## Überprüfen und Verfolgen des Zugriffs von Personen
<a name="bp_mgmt-acct_review-access"></a>

Um sicherzustellen, dass Sie den Zugriff auf das Verwaltungskonto behalten, überprüfen Sie regelmäßig die Mitarbeiter in Ihrem Unternehmen, die Zugriff auf die E-Mail-Adresse, das Passwort, die MFA und die Telefonnummer haben, die damit verknüpft sind. Richten Sie Ihre Überprüfung an bestehenden Geschäftsabläufen aus. Fügen Sie eine monatliche oder vierteljährliche Überprüfung dieser Informationen hinzu, um sicherzustellen, dass nur die richtigen Personen Zugang haben. Stellen Sie sicher, dass der Vorgang zum Wiederherstellen oder Zurücksetzen des Zugriffs auf die Stammbenutzeranmeldeinformationen nicht von einer bestimmten Person abhängig ist. Alle Prozesse sollten die Möglichkeit berücksichtigen, dass Personen nicht verfügbar sein können.

## Verwenden Sie das Verwaltungskonto nur für Aufgaben, die das Verwaltungskonto ***erfordern***
<a name="bp_mgmt-acct_use-mgmt"></a>

Wir empfehlen, das Verwaltungskonto und die zugehörigen Benutzer und Rollen für Aufgaben zu verwenden, die nur über dieses Konto ausgeführt werden müssen. Speichern Sie all Ihre AWS Ressourcen AWS-Konten in anderen Bereichen der Organisation und halten Sie sie außerhalb des Verwaltungskontos. Ein wichtiger Grund dafür, Ihre Ressourcen in anderen Konten zu behalten, liegt darin, dass die Dienststeuerungsrichtlinien (SCPs) von Organizations nicht dazu dienen, Benutzer oder Rollen im Verwaltungskonto einzuschränken. Durch die Trennung der Ressourcen vom Verwaltungskonto können Sie außerdem die Kosten auf Ihren Rechnungen leichter nachvollziehen.

Eine Liste der Aufgaben, die vom Verwaltungskonto aus aufgerufen werden müssen, finden Sie unter [Vorgänge, die Sie nur vom Verwaltungskonto der Organisation aus aufrufen können](https://docs.aws.amazon.com/organizations/latest/APIReference/action-reference.html#actions-management-account).

## Vermeiden der Bereitstellung von Workloads im Verwaltungskonto der Organisation
<a name="bp_mgmt-acct_avoid-deploying"></a>

Privilegierte Operationen können innerhalb des Verwaltungskontos einer Organisation ausgeführt werden und gelten SCPs nicht für das Verwaltungskonto. Daher sollten Sie nur Cloud-Ressourcen und -Daten in das Verwaltungskonto aufnehmen, die dort verwaltet werden müssen. 

## Delegieren von Aufgaben außerhalb des Verwaltungskontos zur Dezentralisierung
<a name="bp_mgmt-acct_"></a>

Nach Möglichkeit sollten Aufgaben und Services außerhalb des Verwaltungskontos delegiert werden. Erteilen Sie den Teams in ihren eigenen Konten Berechtigungen zur Bewältigung der erforderlichen Aufgaben in der Organisation, sodass sie keinen Zugriff auf das Verwaltungskonto benötigen. Darüber hinaus können Sie mehrere delegierte Administratoren für Dienste registrieren, die diese Funktionalität unterstützen, z. B. AWS Service Catalog für die gemeinsame Nutzung von Software innerhalb der Organisation oder CloudFormation StackSets für die Erstellung und Bereitstellung von Stacks.

Weitere Informationen finden Sie unter [Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html), [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) und Vorschläge [AWS-Services die du verwenden kannst mit AWS Organizations](orgs_integrate_services_list.md) zur Registrierung von Mitgliedskonten als delegierter Administrator für verschiedene Dienste. AWS 

Weitere Informationen zum Einrichten delegierter Administratoren finden Sie unter [Aktivieren eines Kontos für einen delegierten Administrator für AWS -Kontenverwaltung](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs-delegated-admin.html) und [Delegierter Administrator für AWS Organizations](orgs_delegate_policies.md). 

# Schließung eines Verwaltungskontos in Ihrer Organisation
<a name="orgs_manage_accounts_close_management"></a>

Um das Verwaltungskonto in Ihrer Organisation zu [schließen, müssen Sie zuerst alle Mitgliedskonten in der Organisation entweder schließen](orgs_manage_accounts_close.md) oder [entfernen](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account). Durch das Schließen des Verwaltungskontos werden auch die Instanz AWS Organizations und alle Richtlinien, die Sie innerhalb dieser Organisation erstellt haben, nach Ablauf des [Zeitraums nach der Schließung](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period) gelöscht.

## Schließen Sie das Verwaltungskonto
<a name="orgs_account_close_proc_mgmt"></a>

Gehen Sie wie folgt vor, um ein Verwaltungskonto zu schließen.

**Wichtig**  
Bevor Sie Ihr Verwaltungskonto schließen, empfehlen wir Ihnen dringend, die Überlegungen zu überprüfen und sich darüber im Klaren zu sein, welche Auswirkungen die Schließung eines Kontos hat. Weitere Informationen finden [Sie im Leitfaden zur Kontoverwaltung unter Was Sie vor der Schließung Ihres Kontos wissen müssen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) *und Was Sie nach der Schließung Ihres AWS Kontos* [erwarten](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) können.

------
#### [ AWS Management Console ]

**So schließen Sie ein Verwaltungskonto auf der Kontoseite**
**Anmerkung**  
Sie können ein Verwaltungskonto nicht direkt von der AWS Organizations Konsole aus schließen.

1. [Melden Sie sich AWS-Managementkonsole als Root-Benutzer](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) für das Verwaltungskonto an, das Sie schließen möchten. Sie können ein Konto nicht schließen, während Sie als IAM-Benutzer oder als IAM-Rolle angemeldet sind.

1. Stellen Sie sicher, dass in Ihrer Organisation keine aktiven Mitgliedskonten mehr vorhanden sind. Gehen Sie dazu zur [AWS Organizations Konsole](https://console.aws.amazon.com/organizations). Wenn Sie ein Mitgliedskonto haben, das noch aktiv ist, müssen Sie die Anweisungen unter [Schließung eines Mitgliedskontos in einer Organisation mit AWS Organizations](orgs_manage_accounts_close.md) oder befolgen, [Ein Mitgliedskonto aus einer Organisation entfernen](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account) bevor Sie mit dem nächsten Schritt fortfahren können.

1. **Wählen Sie in der Navigationsleiste in der oberen rechten Ecke Ihren Kontonamen oder Ihre Kontonummer und dann Konto aus.**

1. Wählen Sie auf der [https://console.aws.amazon.com/billing/home#/account](https://console.aws.amazon.com/billing/home#/account) die Schaltfläche **Konto schließen** aus. Lesen Sie die Hinweise zur Kontoschließung und stellen Sie sicher, dass Sie sie verstanden haben.

1. Wählen Sie die Schaltfläche **Konto schließen**, um den Vorgang zur Kontoschließung einzuleiten.

1. Innerhalb weniger Minuten sollten Sie eine E-Mail-Bestätigung erhalten, dass Ihr Konto geschlossen wurde.

------
#### [ AWS CLI & AWS SDKs ]

Diese Aufgabe wird im AWS CLI oder durch einen API-Vorgang von einem der nicht unterstützt AWS SDKs. Sie können diese Aufgabe nur mit dem ausführen AWS-Managementkonsole.

------

# Verwaltung von Mitgliedskonten mit AWS Organizations
<a name="orgs-manage_accounts_members"></a>

Ein *Mitgliedskonto* ist ein AWS-Konto anderes als das Verwaltungskonto, das Teil einer Organisation ist.

In diesem Thema wird beschrieben, wie Sie Mitgliedskonten mit verwalten AWS Organizations.

**Topics**
+ [Bewährte Methoden für Mitgliedskonten](orgs_best-practices_member-acct.md)
+ [Erstellen eines Mitgliedskontos](orgs_manage_accounts_create.md)
+ [Zugreifen auf Mitgliedskonten](orgs_manage_accounts_access.md)
+ [Schließen eines Mitgliedskontos](orgs_manage_accounts_close.md)
+ [Schützen von Mitgliedskonten vor der Schließung](orgs_account_close_policy.md)
+ [Entfernen eines Mitgliedskontos](orgs_manage_accounts_remove.md)
+ [Eine Organisation von einem Mitgliedskonto aus verlassen](orgs_manage_accounts_leave-as-member.md)
+ [Aktualisierung des Kontonamens für ein Mitgliedskonto](orgs_manage_accounts_update_name.md)
+ [Aktualisierung der E-Mail-Adresse des Root-Benutzers für ein Mitgliedskonto](orgs_manage_accounts_update_primary_email.md)

# Bewährte Methoden für Mitgliedskonten
<a name="orgs_best-practices_member-acct"></a>

Befolgen Sie diese Empfehlungen, um die Mitgliedskonten in Ihrer Organisation zu schützen. Bei diesen Empfehlungen wird davon ausgegangen, dass Sie sich auch an die [bewährte Methode halten, den Stammbenutzer nur für die Aufgaben zu verwenden, die ihn wirklich erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).

**Topics**
+ [Definieren des Kontonamens und der Attribute](#bp_member-acct_define-acct)
+ [Effizientes Skalieren Ihrer Umgebung und Kontonutzung](#bp_member-acct_efficiently-scale)
+ [Aktivieren Sie die Root-Zugriffsverwaltung, um die Verwaltung der Root-Benutzeranmeldeinformationen für Mitgliedskonten zu vereinfachen](#bp_member-acct_root-access-management)

## Definieren des Kontonamens und der Attribute
<a name="bp_member-acct_define-acct"></a>

Verwenden Sie für die Mitgliedskonten eine Benennungsstruktur und eine E-Mail-Adresse, die der Kontonutzung entsprechen. Zum Beispiel `Workloads+fooA+dev@domain.com` für `WorkloadsFooADev` oder `Workloads+fooB+dev@domain.com` für `WorkloadsFooBDev`. Wenn benutzerdefinierte Tags für Ihre Organisation definiert sind, sollten Sie diese Tags in Konten zuweisen, die die Kontonutzung, die Kostenstelle, die Umgebung und das Projekt widerspiegeln. Das erleichtert das Identifizieren und Organisieren von Konten und die Suche danach. 

## Effizientes Skalieren Ihrer Umgebung und Kontonutzung
<a name="bp_member-acct_efficiently-scale"></a>

Stellen Sie bei der Skalierung vor dem Erstellen neuer Konten sicher, dass es noch keine Konten für ähnliche Anforderungen gibt, um unnötige Doppelarbeit zu vermeiden. AWS-Konten sollte auf gemeinsamen Zugangsanforderungen basieren. Wenn Sie planen, die Konten wiederzuverwenden (z. B. als Sandbox-Konto oder ähnliches), sollten Sie nicht benötigte Ressourcen oder Workloads in den Konten bereinigen, die Konten jedoch für eine künftige Nutzung aufbewahren.

Beachten Sie vor dem Schließen von Konten, dass sie entsprechenden Kontingentlimits unterliegen. Weitere Informationen finden Sie unter [Kontingente und Servicebeschränkungen für AWS Organizations](orgs_reference_limits.md). Implementieren Sie nach Möglichkeit einen Bereinigungsprozess, um Konten wiederzuverwenden, anstatt sie zu schließen. Auf diese Weise vermeiden Sie, dass Ihnen Kosten durch den Betrieb von Ressourcen und das Erreichen von [CloseAccount API-Limits](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) entstehen. 

## Aktivieren Sie die Root-Zugriffsverwaltung, um die Verwaltung der Root-Benutzeranmeldeinformationen für Mitgliedskonten zu vereinfachen
<a name="bp_member-acct_root-access-management"></a>

Wir empfehlen Ihnen, die Root-Zugriffsverwaltung zu aktivieren, damit Sie die Root-Benutzeranmeldeinformationen für Mitgliedskonten überwachen und entfernen können. Die Root-Zugriffsverwaltung verhindert die Wiederherstellung von Root-Benutzeranmeldedaten und verbessert so die Kontosicherheit in Ihrer Organisation.
+ Entfernen Sie die Root-Benutzeranmeldedaten für Mitgliedskonten, um eine Anmeldung beim Root-Benutzer zu verhindern. Dadurch wird auch verhindert, dass Mitgliedskonten den Root-Benutzer wiederherstellen können.
+ Gehen Sie von einer privilegierten Sitzung aus, um die folgenden Aufgaben für Mitgliedskonten auszuführen:
  + Entfernen Sie eine falsch konfigurierte Richtlinie für einen Bucket, die allen Prinzipalen den Zugriff auf einen Amazon-S3-Bucket verweigert.
  + Löschen Sie eine ressourcenbasierte Richtlinie von Amazon Simple Queue Service, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.
  + Erlauben Sie einem Mitgliedskonto, seine Root-Benutzeranmeldeinformationen wiederherzustellen. Die Person mit Zugriff auf die E-Mail-Adresse des Root-Benutzers und den für das Mitgliedskonto kann das Root-Benutzerpasswort zurücksetzen und sich als Root-Benutzer des Mitgliedskontos anmelden.

Nachdem die Root-Zugriffsverwaltung aktiviert wurde, verfügen neu erstellte Mitgliedskonten über keine Root-Benutzeranmeldedaten, sodass keine zusätzliche Sicherheit wie MFA nach der Bereitstellung erforderlich ist. secure-by-default

*Weitere Informationen finden Sie im Benutzerhandbuch unter [Zentralisierung der Root-Benutzeranmeldedaten für Mitgliedskonten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)AWS Identity and Access Management .* 

### Verwenden Sie einen SCP, um einzuschränken, was der Stammbenutzer in Ihren Mitgliedskonten tun kann
<a name="bp_member-acct_use-scp"></a>

Es wird empfohlen, eine Service-Kontrollrichtlinie (Service Control Policy, SCP) in der Organisation zu erstellen und sie dem Stammverzeichnis der Organisation zuzuordnen, damit sie auf alle Mitgliedskonten angewendet wird. Weitere Informationen finden Sie unter [Sichern von Root-Benutzer-Anmeldedaten für Ihr Organizations-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations).

Sie können alle Root-Aktionen bis auf eine bestimmte, reine Root-Aktion ablehnen, die Sie in Ihrem Mitgliedskonto ausführen müssen. Der folgende SCP verhindert beispielsweise, dass der Root-Benutzer eines Mitgliedskontos AWS Dienst-API-Aufrufe tätigt, mit Ausnahme von „Aktualisierung einer S3-Bucket-Richtlinie, die falsch konfiguriert war und allen Prinzipalen den Zugriff verweigert“ (eine der Aktionen, für die Root-Anmeldeinformationen erforderlich sind). Weitere Informationen finden Sie unter [Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) im *IAM-Benutzerhandbuch*.

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction":[
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:DeleteBucketPolicy"
                 ],
            "Resource": "*",
            "Condition": {
 "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
            }
        }
    ]
 }
```

------

In den meisten Fällen können alle Verwaltungsaufgaben von einer IAM-Rolle ( AWS Identity and Access Management ) im Mitgliedskonto mit entsprechenden Administratorberechtigungen ausgeführt werden. Auf diese Rollen sollten geeignete Kontrollen angewendet werden, um Aktivitäten einzuschränken, zu protokollieren und zu überwachen.

# Erstellen eines Mitgliedskontos in einer Organisation mit AWS Organizations
<a name="orgs_manage_accounts_create"></a>

In diesem Thema wird beschrieben, wie Sie AWS-Konten innerhalb Ihrer Organisation in erstellen AWS Organizations. Informationen zum Erstellen einer Single AWS-Konto finden Sie im [Ressourcencenter Erste Schritte](https://aws.amazon.com/getting-started/).

## Überlegungen vor der Erstellung eines Mitgliedskontos
<a name="orgs_manage_accounts_create-considerations"></a>

**Organizations erstellt automatisch die IAM-Rolle `OrganizationAccountAccessRole` für das Mitgliedskonto**

Wenn Sie in Ihrer Organisation ein Mitgliedskonto erstellen, erstellt Organizations automatisch die IAM-Rolle `OrganizationAccountAccessRole` im Mitgliedskonto, sodass Benutzer und Rollen im Verwaltungskonto die volle administrative Kontrolle über das Mitgliedskonto ausüben können. Alle zusätzlichen Konten, die derselben verwalteten Richtlinie zugeordnet sind, werden bei jeder Aktualisierung der Richtlinie automatisch aktualisiert. Diese Rolle unterliegt allen [Dienstkontrollrichtlinien (SCPs)](orgs_manage_policies_scps.md), die für das Mitgliedskonto gelten.

**Organizations erstellt automatisch die serviceverknüpfte Rolle `AWSServiceRoleForOrganizations` für das Mitgliedskonto**

Wenn Sie in Ihrer Organisation ein Mitgliedskonto erstellen, erstellt Organizations automatisch eine dienstbezogene Rolle `AWSServiceRoleForOrganizations` im Mitgliedskonto, die die Integration mit ausgewählten AWS Diensten ermöglicht. Um die Integration zu ermöglichen, müssen Sie die anderen Services konfigurieren. Weitere Informationen finden Sie unter [AWS Organizations und dienstbezogene Rollen](orgs_integrate_services.md#orgs_integrate_services-using_slrs).

**Mitgliedskonten können nur im Stammverzeichnis einer Organisation erstellt werden**

Mitgliedskonten in einer Organisation können nur im Stammverzeichnis einer Organisation erstellt werden. Nachdem Sie ein Stammkonto für ein Mitgliedskonto einer Organisation erstellt haben, können Sie es zwischen diesen verschieben OUs. Weitere Informationen finden Sie unter [Konten in eine Organisationseinheit (OU) oder zwischen Stamm- und OUs mit verschieben AWS Organizations](move_account_to_ou.md).

**Richtlinien, die an das Stammverzeichnis angehängt sind, gelten sofort**

Wenn Sie Richtlinien an das Stammkonto angehängt haben, gelten diese Richtlinien sofort für alle Benutzer und Rollen im erstellten Konto.

Wenn Sie [Service Trust für einen anderen AWS Dienst Ihrer Organisation aktiviert](orgs_integrate_services_list.md) haben, kann dieser vertrauenswürdige Dienst dienstbezogene Rollen erstellen oder Aktionen für jedes Mitgliedskonto in der Organisation ausführen, einschließlich Ihres erstellten Kontos.

**Mitgliedskonten müssen sich für den Empfang von Marketing-E-Mails anmelden**

Mitgliedskonten, die Sie als Teil einer Organisation erstellen, abonnieren nicht automatisch AWS Marketing-E-Mails. Um Ihre Konten für den Erhalt von Marketing-E-Mails anzumelden, siehe [https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences).

**Mitgliedskonten für Organisationen, die von verwaltet werden, AWS Control Tower sollten in erstellt werden AWS Control Tower**

Wenn Ihre Organisation von verwaltet wird AWS Control Tower, empfehlen wir Ihnen, Ihre Mitgliedskonten mithilfe der AWS Control Tower Konto-Factory-Funktion in der AWS Control Tower Konsole oder mithilfe von zu erstellen AWS Control Tower APIs.

Wenn Sie in Organizations ein Mitgliedskonto erstellen, obwohl die Organisation von verwaltet wird AWS Control Tower, wird das Konto nicht registriert. AWS Control Tower Weitere Informationen finden Sie unter [Verweisen auf Ressourcen außerhalb von AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources) im *AWS Control Tower -Benutzerhandbuch*.

## Erstellen eines Mitgliedskontos
<a name="orgs_manage_accounts_create-new"></a>

Nachdem Sie sich beim Verwaltungskonto der Organisation angemeldet haben, können Sie Mitgliedskonten erstellen, die Teil Ihrer Organisation sind.

Wenn Sie mit dem folgenden Verfahren ein Konto erstellen, AWS Organizations werden die folgenden **primären Kontaktinformationen** automatisch aus dem Verwaltungskonto in das neue Mitgliedskonto kopiert:
+ Phone number (Telefonnummer)
+ Unternehmensname
+ Website-URL
+ Adresse

Organizations kopieren auch die Kommunikationssprache und die Marketplace-Informationen (in einigen Fällen Anbieter des Kontos AWS-Regionen) aus dem Verwaltungskonto.

**Mindestberechtigungen**  
Um ein Mitgliedskonto in Ihrer Organisation zu erstellen, müssen Sie über die folgenden Berechtigungen verfügen:  
`organizations:DescribeOrganization` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden
`organizations:CreateAccount`

### AWS-Managementkonsole
<a name="orgs_manage_accounts_create-new-console"></a>

**Um ein Konto zu erstellen AWS-Konto , das automatisch Teil Ihrer Organisation ist**

1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

1. Klicken Sie auf der **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)**-Seite auf **Hinzufügen eines AWS-Konto**.

1. Klicken Sie auf der Seite **[Hinzufügen eines AWS-Konto](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** auf **Erstellen eines AWS-Konto** (wird standardmäßig ausgewählt). 

1. Geben Sie auf der Seite **[Erstellen eines AWS-Konto](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** unter **AWS-Konto -Name** den Namen ein, den Sie dem Konto zuweisen möchten. Dieser Name hilft Ihnen, das Konto von anderen Konten der Organisation zu unterscheiden. Es handelt sich nicht um den IAM-Alias oder den E-Mail-Namen des Besitzers.

1. Geben Sie für **E-Mail-Adresse des Kontoinhabers** die E-Mail-Adresse des Kontoinhabers ein. Diese E-Mail-Adresse kann nicht bereits mit einer anderen verknüpft sein AWS-Konto , da sie als Anmeldedaten für den Root-Benutzer des Kontos dient.

1. (Optional) Geben Sie den Namen ein, der der IAM-Rolle zugewiesen wird, die automatisch in dem neuen Konto erstellt wird. Diese Rolle gewährt dem Verwaltungskonto der Organisation die Kontoberechtigung zum Zugriff auf das neu erstellte Mitgliedskonto. Wenn Sie keinen Namen angeben, wird AWS Organizations der Rolle der Standardname zugewiesen. `OrganizationAccountAccessRole` Wir empfehlen, den Standardnamen für alle Konten zu verwenden, um Konsistenz zu gewährleisten.
**Wichtig**  
Notieren Sie sich diesen Rollennamen. Sie benötigen ihn später, um Benutzern und Rollen im Verwaltungskonto Zugriff auf das neue Konto zu gewähren.

1. (Optional) Fügen Sie im Abschnitt **Tags** ein oder mehrere Tags zum neuen Konto hinzu, indem Sie **Tag hinzufügen** auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sie den Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht `null`. Sie können einem Konto bis zu 50 Tags hinzufügen.

1. Wählen Sie **Erstellen AWS-Konto** aus.
   + Wenn Sie eine Fehlermeldung erhalten, die darauf hinweist, dass Sie Ihr Kontokontingent für die Organisation überschritten haben, lesen Sie [Ich erhalte eine Meldung „Kontingent überschritten“, wenn ich versuche, meiner Organisation ein Konto hinzuzufügen.](orgs_troubleshoot.md#troubleshoot_general_error-adding-account).
   + Wenn Sie eine Fehlermeldung erhalten, die darauf hinweist, dass Sie ein Konto nicht hinzufügen können, weil Ihre Organisation noch initialisiert wird, warten Sie eine Stunde, und versuchen Sie es dann erneut.
   + Sie können auch im AWS CloudTrail Protokoll nach Informationen darüber suchen, ob die Kontoerstellung erfolgreich war. Weitere Informationen finden Sie unter [Einloggen und Überwachen AWS Organizations](orgs_security_incident-response.md).
   + Wenn das Problem weiterhin besteht, wenden Sie sich bitte an [AWS Support](https://console.aws.amazon.com/support/home#/).

   Die **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)**-Seite wird angezeigt und Ihr neues Konto wird der Liste hinzugefügt.

1. Da das Konto nun vorhanden ist und eine IAM-Rolle hat, die einen administrativen Zugriff für Benutzer im Verwaltungskonto zulässt, können Sie dem Konto über die Schritte unter [Zugreifen auf Mitgliedskonten in einer Organisation mit AWS Organizations](orgs_manage_accounts_access.md) Zugriff gewähren.

### AWS CLI & AWS SDKs
<a name="orgs_manage_accounts_create-new-cli-sdk"></a>

Die folgenden Code-Beispiele zeigen, wie `CreateAccount` verwendet wird.

------
#### [ .NET ]

**SDK für .NET**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples) einrichten und ausführen. 

```
    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }
```
+  Einzelheiten zur API finden Sie [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)in der *AWS SDK für .NET API-Referenz*. 

------
#### [ CLI ]

**AWS CLI**  
**So erstellen Sie ein Mitgliedskonto, das automatisch Teil Ihrer Organisation ist**  
Das folgende Beispiel zeigt, wie ein Mitgliedskonto in einer Organisation erstellt wird. Das Mitgliedskonto ist mit dem Namen Production Account und der E-Mail-Adresse susan@example.com konfiguriert. Organizations erstellt automatisch eine IAM-Rolle mit dem Standardnamen von, OrganizationAccountAccessRole da der RoleName-Parameter nicht angegeben ist. Außerdem ist die Einstellung, die IAM-Benutzern oder -Rollen mit ausreichenden Berechtigungen den Zugriff auf Kontoabrechnungsdaten ermöglicht, auf den Standardwert ALLOW gesetzt, da der IamUserAccessToBilling Parameter nicht angegeben ist. Organizations sendet Susan automatisch eine „Willkommen bei AWS“ -E-Mail:  

```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
Die Ausgabe umfasst ein Anforderungsobjekt, aus dem hervorgeht, dass der Status jetzt `IN_PROGRESS` lautet:  

```
{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}
```
Sie können später den aktuellen Status der Anfrage abfragen, indem Sie den Antwortwert ID für den describe-create-account-status Befehl als Wert für den create-account-request-id Parameter angeben.  
Weitere Informationen finden Sie unter Erstellen eines AWS Kontos in Ihrer Organisation im *Benutzerhandbuch für AWS Organizations*.  
+  Einzelheiten zur API finden Sie [CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)unter *AWS CLI Befehlsreferenz*. 

------

# Zugreifen auf Mitgliedskonten in einer Organisation mit AWS Organizations
<a name="orgs_manage_accounts_access"></a>

Wenn Sie ein Konto in Ihrer Organisation erstellen, erstellt  zusätzlich zum StammbenutzerAWS Organizations automatisch eine IAM-Rolle, die standardmäßig `OrganizationAccountAccessRole` benannt ist. Sie können bei der Erstellung einen anderen Namen angeben. Wir empfehlen jedoch, ihn für alle Ihre Konten einheitlich zu benennen. AWS Organizations erstellt keine anderen Benutzer oder Rollen.

Um auf die Konten innerhalb Ihrer Organisation zugreifen zu können, müssen Sie eines der folgenden Verfahren durchführen:

**Mindestberechtigungen**  
Um AWS-Konto von einem anderen Konto in Ihrer Organisation aus auf ein Konto zugreifen zu können, benötigen Sie die folgenden Berechtigungen:  
`sts:AssumeRole` – Das `Resource`-Element muss entweder auf ein Sternchen (\$1) oder auf die Konto-ID-Nummer des Kontos des Benutzers festgelegt sein, der auf das neue Mitgliedskonto zugreifen muss 

------
#### [ Using the root user (Not recommended for everyday tasks) ]

Wenn Sie in Ihrer Organisation ein neues Mitgliedskonto erstellen, hat das Konto standardmäßig keine Root-Benutzeranmeldeinformationen. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen, es sei denn, die Kontowiederherstellung ist aktiviert.

Sie können den [Root-Zugriff für Mitgliedskonten zentralisieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), um Root-Benutzeranmeldedaten für bestehende Mitgliedskonten in Ihrer Organisation zu entfernen. Durch das Löschen von Root-Benutzeranmeldedaten werden das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate entfernt und die Multi-Faktor-Authentifizierung (MFA) deaktiviert. Diese Mitgliedskonten verfügen nicht über die Anmeldeinformationen als Root-Benutzer, können sich nicht als Root-Benutzer anmelden und können das Root-Benutzer-Passwort nicht wiederherstellen. Neue Konten, die Sie in Organizations erstellen, verfügen standardmäßig über keine Root-Benutzer-Anmeldeinformationen.

Wenden Sie sich an Ihren Administrator, wenn Sie eine Aufgabe ausführen müssen, für die Root-Benutzeranmeldeinformationen für ein Mitgliedskonto erforderlich sind, für das keine Root-Benutzeranmeldedaten vorhanden sind.

Um als Root-Benutzer auf Ihr Mitgliedskonto zuzugreifen, müssen Sie den Vorgang zur Kennwortwiederherstellung durchführen. Weitere Informationen finden Sie unter [Ich habe mein Root-Benutzerpasswort für mich vergessen AWS-Konto](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) im *AWS Anmelde-Benutzerhandbuch*. 

Wenn Sie mit dem Root-Benutzer auf ein Mitgliedskonto zugreifen müssen, befolgen Sie diese bewährten Methoden:
+ Verwenden Sie den Root-Benutzer nicht, um auf Ihr Konto zuzugreifen, es sei denn, um andere Benutzer und Rollen mit eingeschränkteren Berechtigungen zu erstellen. Melden Sie sich dann als einer dieser neuen Benutzer oder Rollen an.
+ [Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa). Setzen Sie das Passwort zurück und [ordnen Sie dem Stammbenutzer ein MFA-Gerät zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).

Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *-IAM-Benutzerhandbuch*. Weitere Sicherheitsempfehlungen für Root-Benutzer finden Sie unter [Bewährte Methoden für Root-Benutzer AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) im *IAM-Benutzerhandbuch*.

------
#### [ Using trusted access for IAM Identity Center ]

Verwenden [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)und aktivieren Sie den vertrauenswürdigen Zugriff für IAM Identity Center mit. AWS Organizations Auf diese Weise können sich Benutzer mit ihren Unternehmensanmeldedaten beim AWS Zugriffsportal anmelden und auf Ressourcen in ihrem zugewiesenen Verwaltungskonto oder ihren Mitgliedskonten zugreifen.

Weitere Informationen finden Sie unter [Berechtigungen für mehrere Konten](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) im *Benutzerhandbuch von AWS IAM Identity Center *. Weitere Informationen zum Einrichten des vertrauenswürdigen Zugriffs für IAM Identity Center finden Sie unter [AWS IAM Identity Center und AWS Organizations](services-that-can-integrate-sso.md).

------
#### [ Using the IAM role OrganizationAccountAccessRole ]

Wenn Sie ein Konto mithilfe der im Rahmen von bereitgestellten Tools erstellen, können Sie auf das Konto zugreifen AWS Organizations, indem Sie den vorkonfigurierten Rollennamen verwenden`OrganizationAccountAccessRole`, der in allen neuen Konten vorhanden ist, die Sie auf diese Weise erstellen. Weitere Informationen finden Sie unter [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).

Wenn Sie ein vorhandenes Konto zum Beitritt zu Ihrer Organisation einladen und das Konto diese Einladung annimmt, haben Sie die Möglichkeit, eine IAM-Rolle zu erstellen, die dem Verwaltungskonto den Zugriff auf das eingeladene Mitgliedskonto gewährt. Diese Rolle soll mit der Rolle identisch sein, die automatisch einem Konto hinzugefügt wird, das mit AWS Organizations erstellt wird.

Informationen zum Erstellen dieser Rolle finden Sie unter [Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).

Nach dem Erstellen der Rolle können Sie mit den Schritten in [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md) zugreifen.

------

**Topics**
+ [Eine IAM-Zugriffsrolle erstellen](orgs_manage_accounts_create-cross-account-role.md)
+ [Verwenden der IAM-Zugriffsrolle](orgs_manage_accounts_access-cross-account-role.md)

# Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations
<a name="orgs_manage_accounts_create-cross-account-role"></a>

Wenn Sie ein Mitgliedskonto als Teil Ihrer Organisation erstellen, erstellt AWS standardmäßig automatisch eine Rolle im Konto, die IAM-Benutzern im Verwaltungskonto, die die Rolle übernehmen können, Administratorberechtigungen erteilt. Standardmäßig hat diese Rolle den Namen `OrganizationAccountAccessRole`. Weitere Informationen finden Sie unter [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).

Für Mitgliedskonten allerdings, die Sie zum Beitritt zur Organisation *einladen*, ***wird nicht*** automatisch eine Admin-Rolle erstellt. Sie müssen dies, wie in der folgenden Prozedur gezeigt, manuell erledigen. Die Prozedur dupliziert die automatisch für erstellte Konten eingerichtete Rolle. Wir empfehlen, dass Sie aus Konsistenzgründen und zur leichteren Erkennbarkeit denselben Namen (`OrganizationAccountAccessRole`) für Ihre manuell erstellten Rollen nutzen.

------
#### [ AWS-Managementkonsole ]

**Um eine AWS Organizations Administratorrolle in einem Mitgliedskonto zu erstellen**

1. Melden Sie sich bei der IAM-Konsole unter an [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Sie müssen sich im Mitgliedskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Stammbenutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)). Der Benutzer oder die Rolle muss über die Berechtigung zum Erstellen von IAM-Rollen und Richtlinien verfügen.

1. Navigieren Sie in der IAM-Konsole zu **Rollen** und wählen Sie dann Rolle **erstellen** aus.

1. Wählen Sie **AWS-Konto**und wählen Sie dann **Andere AWS-Konto** aus.

1. Geben Sie die 12-stellige Konto-ID-Nummer des Verwaltungskontos ein, für das Sie Administratorzugriff gewähren möchten. Beachten Sie unter **Optionen** bitte Folgendes:
   + Da die Konten in Ihrem Unternehmen intern sind, sollten Sie für diese Rolle **nicht** die Option **Externe ID erforderlich** auswählen. Weitere Informationen zur Option „Externe ID“ finden Sie unter [Wann sollte ich eine externe ID verwenden?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) im *IAM-Benutzerhandbuch*. 
   + Wenn Sie MFA aktiviert und konfiguriert haben, können Sie optional eine Authentifizierung mithilfe eines Multi-Factor Authentication (MFA)-Geräts festlegen. Weitere Informationen zu MFA finden Sie unter [Using Multi-Factor Authentication (MFA) AWS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) *IAM-Benutzerhandbuch*. 

1. Wählen Sie **Weiter** aus.

1. **Wählen Sie auf der Seite „**Berechtigungen hinzufügen**“ die AWS verwaltete Richtlinie mit dem Namen aus `AdministratorAccess` und klicken Sie dann auf Weiter.**

1. Geben Sie auf der Seite **Name, Überprüfung und Erstellung** einen Rollennamen und eine optionale Beschreibung an. Wir empfehlen, dass Sie zur Übereinstimmung mit dem Standardnamen für die Rolle in neuen Konten den Namen „`OrganizationAccountAccessRole`“ verwenden. Wählen Sie **Create Role** (Rolle erstellen) aus, um Ihre Änderungen zu übernehmen.

1. Die neue Rolle erscheint in der Liste der verfügbaren Rollen. Wählen Sie den Namen der neuen Rolle aus, um die Details anzuzeigen. Beachten Sie dabei besonders die angegebene Link-URL. Geben Sie diese URL an die Benutzer im Mitgliedskonto weiter, die Zugriff auf die Rolle benötigen. Notieren Sie sich außerdem den **Role ARN (Rollen-ARN)**. Sie benötigen ihn in Schritt 15.

1. Melden Sie sich bei der IAM-Konsole an unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Melden Sie sich jetzt als derjenige Benutzer im Verwaltungskonto an, der die Berechtigungen zur Erstellung von Richtlinien hat, und weisen Sie die Richtlinien für die Benutzer oder Gruppen zu.

1. Navigieren Sie zu **Richtlinien** und wählen Sie dann **Richtlinie erstellen** aus.

1. Wählen Sie unter **Service** die Option **STS** aus.

1. Für **Actions** geben Sie **AssumeRole** in das Feld **Filter** ein und aktivieren Sie dann das Kontrollkästchen daneben, wenn es angezeigt wird.

1. Stellen Sie sicher, dass unter **Ressourcen** die Option **Spezifisch** ausgewählt ist, und wählen Sie dann **Hinzufügen** aus ARNs.

1. Geben Sie die AWS Mitgliedskonto-ID-Nummer und dann den Namen der Rolle ein, die Sie zuvor in den Schritten 1—8 erstellt haben. Wählen Sie **Hinzufügen ARNs** aus.

1. Wenn Sie die Berechtigung zur Übernahme der Rolle in mehreren Mitgliedskonten erteilen, wiederholen Sie die Schritte 14 und 15 für jedes Konto.

1. Wählen Sie **Weiter** aus.

1. Geben Sie auf der Seite **Überprüfen und erstellen** einen Namen für die neue Richtlinie ein und wählen Sie dann **Richtlinie erstellen** aus, um Ihre Änderungen zu speichern.

1. Wählen Sie im Navigationsbereich **Benutzergruppen** und dann den Namen der Gruppe (nicht das Kontrollkästchen) aus, mit der Sie die Verwaltung des Mitgliedskontos delegieren möchten.

1. Wählen Sie die Registerkarte **Berechtigungen**.

1. Wählen Sie **Berechtigungen hinzufügen**, dann **Richtlinien anhängen** und wählen Sie dann die Richtlinie aus, die Sie in den Schritten 11—18 erstellt haben.

------

Die Benutzer, die Mitglieder der ausgewählten Gruppe sind, können nun die Daten URLs , die Sie in Schritt 9 erfasst haben, verwenden, um auf die Rollen der einzelnen Mitgliedskonten zuzugreifen. Sie können auf diese Mitgliedskonten so zugreifen wie beim Zugriff auf ein in der Organisation erstelltes Konto. Weitere Informationen über die Verwendung der Rolle zur Administration eines Mitgliedskontos finden Sie unter [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md). 

# Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations
<a name="orgs_manage_accounts_access-cross-account-role"></a>

Wenn Sie über die AWS Organizations Konsole ein Mitgliedskonto erstellen, AWS Organizations *wird automatisch* eine IAM-Rolle mit dem Namen `OrganizationAccountAccessRole` des Kontos erstellt. Diese Rolle hat volle administrative Berechtigungen im Mitgliedskonto. Der Zugriffsumfang für diese Rolle umfasst alle Hauptbenutzer im Verwaltungskonto, sodass die Rolle so konfiguriert ist, dass sie diesen Zugriff auf das Verwaltungskonto der Organisation gewährt.

Sie können eine identische Rolle für ein eingeladenes Mitgliedskonto erstellen, indem Sie entsprechend der Schritte in [Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations](orgs_manage_accounts_create-cross-account-role.md) vorgehen.

Um diese Rolle für den Zugriff auf das Mitgliedskonto zu verwenden, müssen Sie sich als Benutzer des Verwaltungskonto anmelden, das Berechtigungen zur Annahme der Rolle hat. Führen Sie das folgende Verfahren aus, um diese Berechtigungen zu konfigurieren. Wir empfehlen, dass Sie Berechtigungen zu Gruppen statt zu Benutzern zuweisen. Dies vereinfacht die Wartung.

------
#### [ AWS-Managementkonsole ]

**Erteilen von Berechtigungen zum Zugriff auf die Rolle für Mitglieder einer IAM-Gruppe im Verwaltungskonto**

1. Melden Sie sich bei der IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)als Benutzer mit Administratorrechten im Verwaltungskonto an. Dies ist erforderlich, um Berechtigungen zu der IAM-Gruppe zuzuweisen, deren Benutzer auf die Rolle im Mitgliedskonto zugreifen.

1. <a name="step-create-policy"></a>Erstellen Sie zunächst die verwaltete Richtlinie, die Sie später in [Step 14](#step-choose-group) benötigen. 

   Wählen Sie im Navigationsbereich **Policies (Richtlinien)** und dann **Create policy (Richtlinie erstellen)** aus.

1. Wählen Sie auf der Registerkarte Visual Editor die Option **Dienst auswählen aus, geben Sie **STS** in das Suchfeld ein**, um die Liste zu filtern, und wählen Sie dann die Option **STS** aus.

1. Geben Sie im Abschnitt **Aktionen** **assume** in das Suchfeld ein, um die Liste zu filtern, und wählen Sie dann die **AssumeRole**Option aus.

1. Wählen Sie im Abschnitt **Ressourcen** die Option **Spezifisch** und anschließend **Hinzufügen ARNs**

1. Wählen **Sie im Abschnitt ARN (s) angeben** die Option **Anderes Konto** für Ressource in aus.

1. Geben Sie die ID des Mitgliedskontos ein, das Sie gerade erstellt haben

1. Geben Sie unter **Name der Ressourcenrolle mit Pfad** den Namen der Rolle ein, die Sie im vorherigen Abschnitt erstellt haben (wir empfehlen, sie zu benennen`OrganizationAccountAccessRole`).

1. Wählen **Sie Hinzufügen ARNs**, wenn das Dialogfeld den richtigen ARN anzeigt.

1. (Optional) Wenn Sie eine Multi-Factor Authentication (MFA) anfordern oder den Zugriff auf die Rolle aus einem angegebenen IP-Adressbereich einschränken möchten, erweitern Sie den Abschnitt „Request conditions (Anforderungsbedingungen)“ und wählen die Optionen aus, die Sie durchsetzen möchten.

1. Wählen Sie **Weiter** aus.

1. Geben Sie auf der Seite **Überprüfen und erstellen** einen Namen für die neue Richtlinie ein. Beispiel: **GrantAccessToOrganizationAccountAccessRole**. Optional können Sie auch eine Beschreibung eingeben. 

1. <a name="step-end-policy"></a>Wählen Sie **Create policy (Richtlinie erstellen)** aus, um die neue verwaltete Richtlinie zu speichern.

1. <a name="step-choose-group"></a>Da die Richtlinie jetzt verfügbar ist, können Sie diese einer Gruppe anfügen.

   Wählen Sie im Navigationsbereich **Benutzergruppen** und dann den Namen der Gruppe (nicht das Kontrollkästchen) aus, deren Mitglieder Sie die Rolle im Mitgliedskonto übernehmen möchten. Falls erforderlich, können Sie eine neue Gruppe erstellen.

1. Wählen Sie die Registerkarte **Permissions (Berechtigungen)**, wählen Sie **Add permissions (Berechtigungen hinzufügen)** und wählen Sie dann **Attach policies (Richtlinien anhängen)**.

1. (Optional) Sie können im Feld **Search (Suchen)** mit der Eingabe des Namens Ihrer Richtlinie beginnen, um die Liste zu filtern, bis Ihnen der Name der Richtlinie angezeigt wird, die Sie gerade in [Step 2](#step-create-policy) über [Step 13](#step-end-policy) erstellt haben. Sie können auch alle AWS verwalteten Richtlinien herausfiltern, indem Sie **Alle Typen** und dann vom **Kunden verwaltet** auswählen.

1. Markieren Sie das Kästchen neben Ihrer Richtlinie und wählen Sie dann **Richtlinien anhängen** aus.

------

IAM-Benutzer, die Mitglieder der Gruppe sind, sind jetzt berechtigt, mithilfe des folgenden Verfahrens zur neuen Rolle in der AWS Organizations Konsole zu wechseln.

------
#### [ AWS-Managementkonsole ]

**So wechseln Sie zur Rolle für das Mitgliedskonto**

Wenn er die Rolle verwendet, hat der Benutzer Administratorberechtigungen im neuen Mitgliedskonto. Weisen Sie Ihre IAM-Benutzer an, die Mitglieder der Gruppe sind, die folgenden Schritte auszuführen, um zur neuen Rolle zu wechseln. 

1. **Wählen Sie in der oberen rechten Ecke der AWS Organizations Konsole den Link aus, der Ihren aktuellen Anmeldenamen enthält, und klicken Sie dann auf Rolle wechseln.**

1. Geben Sie die von Ihrem Administrator erhaltene Konto-ID und den Rollennamen ein.

1. Geben Sie unter **Display Name (Anzeigename)** den Text ein, der während der Verwendung der Rolle in der Navigationsleiste in der oberen rechten Ecke statt Ihres Benutzernamens angezeigt werden soll. Optional können Sie eine Farbe auswählen.

1. Wählen Sie **Switch Role**. Nun werden alle von Ihnen ausgeführten Aktionen mit den für die gewählte Rolle gewährten Berechtigungen ausgeführt. Solange Sie nicht zurück wechseln, müssen die Berechtigungen nicht Ihrem ursprünglichen IAM-Benutzer zugewiesen werden.

1. Nach der Ausführung von Aktionen, für die Sie die Berechtigungen der Rolle benötigen, können Sie zum normalen IAM-Benutzer zurückwechseln. **Wählen Sie den Rollennamen in der oberen rechten Ecke aus (den Namen, den Sie als **Anzeigenamen** angegeben haben) und wählen Sie dann Zurück zu. *UserName***

------

# Schließung eines Mitgliedskontos in einer Organisation mit AWS Organizations
<a name="orgs_manage_accounts_close"></a>

Wenn Sie in Ihrer Organisation kein Mitgliedskonto mehr benötigen, können Sie es von der [AWS Organizations Konsole](https://console.aws.amazon.com/organizations/v2) aus schließen, indem Sie den Anweisungen in diesem Thema folgen. Sie können ein Mitgliedskonto nur dann über die AWS Organizations Konsole schließen, wenn sich Ihre Organisation im Modus „[Alle Funktionen](orgs_getting-started_concepts.md#feature-set-all)“ befindet.

Sie können ein Konto auch AWS-Konto direkt von der [https://console.aws.amazon.com/billing/home#/account](https://console.aws.amazon.com/billing/home#/account) aus schließen, AWS-Managementkonsole nachdem Sie sich als Root-Benutzer angemeldet haben. step-by-stepEine Anleitung dazu finden Sie AWS-Konto im *Leitfaden zur AWS Kontoverwaltung unter* [Schließen eines](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html). 

Informationen zum Schließen eines Verwaltungskontos finden Sie unter[Schließung eines Verwaltungskontos in Ihrer Organisation](orgs_manage_accounts_close_management.md).

## Schließen Sie ein Mitgliedskonto
<a name="orgs_account_close_proc"></a>

Wenn Sie sich im Verwaltungskonto der Organisation anmelden, können Sie Mitgliedskonten schließen, die Teil Ihrer Organisation sind. Führen Sie dazu die folgenden Schritte aus.

**Wichtig**  
Bevor Sie Ihr Mitgliedskonto schließen, empfehlen wir Ihnen dringend, die Überlegungen zu lesen und sich darüber im Klaren zu sein, welche Auswirkungen die Schließung eines Kontos hat. Weitere Informationen finden [Sie im Leitfaden zur Kontoverwaltung unter Was Sie vor der Schließung Ihres Kontos wissen müssen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) *und Was Sie nach der Schließung Ihres AWS Kontos* [erwarten](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) können.

------
#### [ AWS Management Console ]

**So schließen Sie ein Mitgliedskonto über die AWS Organizations Konsole**

1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich als IAM-Benutzer oder als Root-Benutzer ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) im Verwaltungskonto der Organisation anmelden.

1. Suchen und wählen Sie auf der Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** den Namen des Mitgliedskontos, das Sie schließen möchten. Sie können durch die OU-Hierarchie navigieren oder eine flache Liste von Konten ohne die OU-Struktur anzeigen. 

1. Wählen Sie oben auf der Seite neben dem Kontonamen **Close** (Schließen) aus. Diese Option ist nur verfügbar, wenn sich eine AWS Organisation im Modus „[Alle Funktionen](orgs_getting-started_concepts.md#feature-set-all)“ befindet.
**Anmerkung**  
Wenn Ihre Organisation den Modus „[Konsolidierte Abrechnung](orgs_getting-started_concepts.md#feature-set-cb-only)“ verwendet, wird die Schaltfläche „**Schließen**“ in der Konsole nicht angezeigt. Um ein Konto im konsolidierten Abrechnungsmodus zu schließen, melden Sie sich als Root-Benutzer bei dem Konto an, das Sie schließen möchten. Wählen Sie auf der Seite **Konten** die Schaltfläche **Konto schließen**, geben Sie Ihre Konto-ID ein und wählen Sie dann die Schaltfläche **Konto schließen**.

1. Lesen Sie die Hinweise zur Kontoschließung und stellen Sie sicher, dass Sie sie verstanden haben.

1. Geben Sie die Mitgliedskonto-ID ein und wählen Sie dann **Konto schließen** aus. 

**Anmerkung**  
Für jedes Mitgliedskonto, das Sie schließen, wird in der AWS Organizations Konsole bis zu 90 Tage nach dem ursprünglichen Schließdatum neben dem Kontonamen ein `CLOSED` Etikett angezeigt. Nach 90 Tagen wird das Mitgliedskonto dauerhaft geschlossen und nicht mehr in der AWS Organizations Konsole angezeigt. Bitte beachten Sie, dass es einige Tage dauern kann, bis das Konto nach der dauerhaften Schließung aus der Organisation entfernt wird.

**Um ein Mitgliedskonto von der Kontoseite aus zu schließen**

Optional können Sie ein AWS Mitgliedskonto direkt auf der Seite **Konten** im schließen AWS-Managementkonsole. Weitere step-by-step Informationen finden Sie in den Anweisungen unter [Schließen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) und AWS-Konto im *Leitfaden zur AWS Kontoverwaltung*.

------
#### [ AWS CLI & AWS SDKs ]

**Um ein zu schließen AWS-Konto**  
Sie können einen der folgenden Befehle verwenden, um ein Konto zu schließen:
+ AWS CLI: [close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)

  ```
  $ aws organizations close-account \
      --account-id 123456789012
  ```

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
+ AWS SDKs: [CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)

------

# Schutz von Mitgliedskonten vor Schließung mit AWS Organizations
<a name="orgs_account_close_policy"></a>

Um Mitgliedskonten vor einer versehentlichen Schließung zu schützen, erstellen Sie eine IAM-Richtlinie, die festlegt, welche Konten ausgenommen sind. Diese Richtlinie verhindert die Schließung geschützter Mitgliedskonten.

Erstellen Sie mit einer der folgenden Methoden eine IAM-Richtlinie, um die Schließung von Konten zu verweigern:
+ Führen Sie geschützte Konten explizit im `Resource` Element der Richtlinie auf, indem Sie ihre ARNs verwenden.
+ Kennzeichnen Sie einzelne Konten und verwenden Sie den `aws:ResourceTag` globalen Bedingungsschlüssel, um die Schließung markierter Konten zu verhindern.

**Anmerkung**  
Die Dienststeuerungsrichtlinien (SCPs) wirken sich nicht auf die IAM-Prinzipale im Verwaltungskonto aus.

## Beispiele für IAM-Richtlinien, die Schließungen von Mitgliedskonten verhindern
<a name="orgs_close_account_policy_examples"></a>

Die folgenden Codebeispiele zeigen zwei verschiedene Methoden, mit denen Sie verhindern können, dass Mitgliedskonten ihr Konto schließen.

------
#### [ Prevent member accounts with tags from getting closed  ]

Sie können die folgende Richtlinie an eine Identität in Ihrem Verwaltungskonto anfügen. Diese Richtlinie hindert Prinzipale im Verwaltungskonto daran, Mitgliedskonten zu schließen, die mit dem globalen Bedingungsschlüssel des `aws:ResourceTag`-Tags, dem `AccountType`-Schlüssel und dem `Critical`-Tag-Wert gekennzeichnet sind.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
```

------
#### [ Prevent member accounts listed in this policy from getting closed ]

Sie können die folgende Richtlinie an eine Identität in Ihrem Verwaltungskonto anfügen. Diese Richtlinie verhindert, dass Prinzipale im Verwaltungskonto Mitgliederkonten schließen, die explizit im `Resource`-Element angegeben wurden. 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}
```

------

# Entfernen eines Mitgliedskontos aus einer Organisation mit AWS Organizations
<a name="orgs_manage_accounts_remove"></a>

 Wenn ein Mitgliedskonto entfernt wird, wird das Konto nicht geschlossen, sondern aus der Organisation entfernt. Das ehemalige Mitgliedskonto wird zu einem eigenständigen Konto AWS-Konto , das nicht mehr von verwaltet wird AWS Organizations.

Danach unterliegt das Konto keinen Richtlinien mehr und ist für die Zahlung der eigenen Rechnungen zuständig. Dem Verwaltungskonto der Organisation werden keine Kosten mehr in Rechnung gestellt, die für das Konto angefallen sind, nachdem es aus der Organisation entfernt wurde.

## Überlegungen
<a name="orgs_manage_account-before-remove"></a>

**Vom Verwaltungskonto erstellte IAM-Zugriffsrollen werden nicht automatisch gelöscht**

Wenn Sie ein Mitgliedskonto aus der Organisation entfernen, werden alle IAM-Rollen, die erstellt wurden, um den Zugriff durch das Verwaltungskonto der Organisation zu ermöglichen, nicht automatisch gelöscht. Wenn Sie diesen Zugriff vom Verwaltungskonto der früheren Organisation beenden möchten, müssen Sie die IAM-Rolle manuell löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

**Sie können ein Konto nur dann aus Ihrer Organisation entfernen, wenn das Konto die Informationen enthält, die für den Betrieb als eigenständiges Konto erforderlich sind**

Sie können ein Konto nur dann aus Ihrer Organisation entfernen, wenn es über die erforderlichen Informationen verfügt, um als eigenständiges Konto zu funktionieren. Wenn Sie mithilfe der AWS Organizations Konsole, der API oder AWS CLI Befehle ein Konto in einer Organisation erstellen, werden *nicht* alle Informationen, die für eigenständige Konten erforderlich sind, automatisch erfasst.

Für jedes Konto, das Sie eigenständig einrichten möchten, müssen Sie einen Supportplan auswählen, die erforderlichen Kontaktinformationen angeben und überprüfen und eine aktuelle Zahlungsmethode angeben. AWS verwendet die Zahlungsmethode, um alle fakturierbaren AWS Aktivitäten (nicht das AWS kostenlose Kontingent) in Rechnung zu stellen, die stattfinden, während das Konto keiner Organisation zugeordnet ist. Um ein Konto zu entfernen, das noch nicht über diese Informationen verfügt, befolgen Sie die Schritte unter [Verlassen einer Organisation aus einem Mitgliedskonto bei AWS Organizations](orgs_manage_accounts_leave-as-member.md).

**Sie müssen mindestens vier Tage warten, nachdem das Konto erstellt wurde**

Um ein Konto zu entfernen, das Sie in der Organisation erstellt haben, müssen Sie mindestens vier Tage warten, nachdem das Konto erstellt wurde. Eingeladene Konten unterliegen dieser Wartezeit nicht. 

**Der Inhaber des Kontos, das das Konto verlässt, ist für alle neu aufgelaufenen Kosten verantwortlich**

In dem Moment, in dem das Konto das Unternehmen erfolgreich verlässt, ist der Inhaber des Kontos für alle neu aufgelaufenen AWS Kosten verantwortlich, und es AWS-Konto wird die Zahlungsmethode des Kontos verwendet. Das Verwaltungskonto der Organisation ist nicht mehr verantwortlich.

**Bei dem Konto kann es sich nicht um ein delegiertes Administratorkonto für einen AWS Dienst handeln, der für die Organisation aktiviert ist**

Bei dem Konto, das Sie entfernen möchten, darf es sich nicht um ein delegiertes Administratorkonto für einen AWS Dienst handeln, der für Ihre Organisation aktiviert ist. Wenn es sich bei dem Konto um einen delegierten Administrator handelt, müssen Sie zuerst das delegierte Administratorkonto in ein anderes Konto ändern, das in der Organisation verbleibt. Weitere Informationen zum Deaktivieren oder Ändern des delegierten Administratorkontos für einen AWS Dienst finden Sie in der Dokumentation zu diesem Dienst.

**Das Konto hat keinen Zugriff mehr auf Kosten- und Nutzungsdaten**

Wenn ein Mitgliedskonto eine Organisation verlässt, hat das Konto keinen Zugriff mehr auf Kosten- und Nutzungsdaten aus dem Zeitraum, als das Konto ein Mitglied der Organisation war. Das Verwaltungskonto der Organisation kann jedoch weiterhin auf die Daten zugreifen. Wenn das Konto der Organisation wieder beitritt, kann das Konto wieder auf die Daten zugreifen.

**Dem Konto zugeordnete Tags werden gelöscht**

Wenn ein Mitgliedskonto eine Organisation verlässt, werden alle dem Konto zugeordneten Tags gelöscht.

**Die Hauptbenutzer im Konto sind nicht mehr von den Unternehmensrichtlinien betroffen**

Die Prinzipale im Konto sind nicht mehr von [Richtlinien](orgs_manage_policies.md) betroffen, die in der Organisation angewendet wurden. Das bedeutet, dass die von auferlegten Einschränkungen SCPs wegfallen und die Benutzer und Rollen im Konto möglicherweise über mehr Berechtigungen verfügen als zuvor. Andere Organisationsrichtlinientypen können nicht mehr erzwungen oder verarbeitet werden. 

**Das Konto ist nicht mehr durch Organisationsvereinbarungen abgedeckt**

Wenn ein Mitgliedskonto aus einer Organisation entfernt wird, gelten Organisationsvereinbarungen für dieses Konto nicht mehr. Verwaltungskonto-Administratoren sollten Mitgliedskonten hiervon benachrichtigen, bevor sie die Konten aus der Organisation entfernen, so dass die Mitgliedskonten nötigenfalls neue Vereinbarungen einrichten können. Eine Liste der aktiven Organisationsvereinbarungen kann in der AWS Artifact Konsole auf der Seite [AWS Artifact Organisationsvereinbarungen](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements) eingesehen werden.

**Die Integration mit anderen Diensten ist möglicherweise deaktiviert**

Die Integration mit anderen Services wird möglicherweise deaktiviert. Wenn Sie ein Konto aus einer Organisation entfernen, für die die Integration mit einem AWS Dienst aktiviert ist, können die Benutzer dieses Kontos diesen Dienst nicht mehr verwenden.

## Ein Mitgliedskonto aus einer Organisation entfernen
<a name="orgs_manage_accounts_remove-member-account"></a>

Wenn Sie sich am Verwaltungskonto der Organisation anmelden, können Sie Mitgliedskonten, die Sie nicht mehr benötigen, aus der Organisation entfernen. Um dies zu tun, führen Sie die folgenden Schritte aus. Dieses Verfahren gilt nur für Mitgliedskonten. Um das Verwaltungskonto zu entfernen, müssen Sie die [Organisation löschen](orgs_manage_org_delete.md).

**Mindestberechtigungen**  
Um einzelne oder mehrere Mitgliedskonten entfernen zu können, müssen Sie als Benutzer oder Rolle beim Verwaltungskonto angemeldet sein und über folgende Berechtigungen verfügen:  
`organizations:DescribeOrganization` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden
`organizations:RemoveAccountFromOrganization` 
Wenn Sie sich in Schritt 5 als Benutzer oder Rolle bei einem Mitgliedskonto anmelden, muss dieser Benutzer oder diese Rolle über folgende Berechtigungen verfügen:  
`organizations:DescribeOrganization` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden
`organizations:LeaveOrganization` – Beachten Sie, dass der Administrator der Organisation eine Richtlinie auf Ihr Konto anwenden kann, mit der diese Berechtigung entfernt wird, sodass Sie Ihr Konto nicht aus der Organisation entfernen können.
Wenn Sie sich als IAM-Benutzer anmelden und dem Konto Zahlungsinformationen fehlen, muss der Benutzer entweder über `aws-portal:ModifyBilling` und `aws-portal:ModifyPaymentMethods` Berechtigungen (wenn das Konto noch nicht zu detaillierten Berechtigungen migriert wurde) ODER über `payments:CreatePaymentInstrument` und `payments:UpdatePaymentPreferences` Berechtigungen (wenn das Konto zu detaillierten Berechtigungen migriert wurde) verfügen. Außerdem muss für das Mitgliedskonto ein IAM-Benutzerzugriff auf die Abrechnung aktiviert sein. Wenn dies nicht bereits aktiviert ist, finden Sie weitere Informationen unter [Den Zugriff auf die Fakturierung und Kostenmanagement-Konsole aktivieren](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) im *AWS Billing -Benutzerhandbuch*.

------
#### [ AWS-Managementkonsole ]

**Entfernen eines Mitgliedskontos aus Ihrer Organisation**

1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

1. Suchen Sie auf der Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** das Kontrollkästchen![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/checkbox-selected.png) neben jedem Mitgliedskonto, das Sie aus Ihrer Organisation entfernen möchten, und aktivieren Sie es. Sie können in der Organisationseinheitenhierarchie navigieren oder die ** AWS-Konten Option Nur anzeigen** aktivieren, um eine pauschale Liste von Konten ohne die Organisationsstruktur anzuzeigen. Wenn Sie viele Konten haben, müssen Sie möglicherweise unten in der Liste **Weitere Konten in '*ou-name*' laden** auswählen, um alle Konten zu finden, die Sie verschieben möchten.

   Suchen Sie auf der Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** den Namen des Mitgliedskontos, das Sie aus Ihrer Organisation entfernen möchten, und wählen Sie ihn aus. Möglicherweise müssen Sie die Liste erweitern OUs (auswählen![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/console-expand.png)), um das gewünschte Konto zu finden.

1. Wählen Sie **Aktionen** und dann unter **AWS-Konto** die Option **Aus Organisation entfernen** aus.

1. Unter ***Konto 'Kontoname*' (\$1 *account-id-num*) aus der Organisation entfernen**? Wählen Sie im Dialogfeld Konto **entfernen** aus.

1. Wenn AWS Organizations eines oder mehrere Konten nicht entfernt werden können, liegt das in der Regel daran, dass Sie nicht alle erforderlichen Informationen angegeben haben, damit das Konto als eigenständiges Konto betrieben werden kann. Führen Sie die folgenden Schritte aus:

   1. Melden Sie sich den fehlgeschlagenen Konten an. Wir empfehlen Ihnen, sich beim Mitgliedskonto anzumelden, indem Sie **Copy link** auswählen und ihn dann in die Adressleiste eines neuen Inkognito-Browserfensters einfügen. Wenn der **Link Kopieren** nicht angezeigt wird, verwenden Sie [diesen Link](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True), um **zur AWS Anmeldeseite** zu gelangen und die fehlenden Registrierungsschritte abzuschließen. Wenn Sie kein Inkognito-Fenster verwenden, sind Sie vom Verwaltungskonto abgemeldet und können nicht mehr zu diesem Dialogfeld zurücknavigieren.

   1. Der Browser führt Sie direkt zum Anmeldevorgang, um die für dieses Konto fehlenden Schritte abzuschließen. Führen Sie alle aufgeführten Schritte aus. Dazu kann Folgendes gehören:
      + Kontaktinformationen bereitstellen
      + Gültige Zahlungsmethode angeben
      + Telefonnummer bestätigen
      + Support-Plan auswählen

   1. Nachdem Sie den letzten Anmeldeschritt abgeschlossen haben, leitet Ihr Browser AWS automatisch zur AWS Organizations Konsole für das Mitgliedskonto weiter. Wählen Sie **Leave organization** aus und bestätigen Sie Ihre Wahl im Bestätigungsdialog. Sie werden zur Seite **Getting Started** der AWS Organizations -Konsole weitergeleitet. Hier können Sie alle ausstehenden Einladungen für Ihr Konto zum Beitritt zu anderen Organisationen sehen.

   1. Entfernen Sie die IAM-Rollen, die Zugriff auf Ihr Konto gewähren, aus der Organisation.
**Wichtig**  
Wenn Ihr Konto in der Organisation erstellt wurde, hat Organizations automatisch eine IAM-Rolle in dem Konto erstellt, mit dem der Zugriff durch das Verwaltungskonto der Organisation aktiviert wurde. Wenn das Konto zum Beitritt eingeladen wurde, hat Organizations eine solche Rolle nicht automatisch erstellt, allerdings haben möglicherweise Sie oder ein anderer Administrator eine entsprechende Rolle erstellt, um dieselben Vorteile zu erhalten. In beiden Fällen wird beim Entfernen des Kontos aus der Organisation eine solche Rolle nicht automatisch gelöscht. Wenn Sie diesen Zugriff aus dem Verwaltungskonto der früheren Organisation beenden möchten, müssen Sie diese IAM-Rolle manuell löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

------
#### [ AWS CLI & AWS SDKs ]

**Entfernen eines Mitgliedskontos aus Ihrer Organisation**  
Sie können einen der folgenden Befehle verwenden, um ein Mitgliedskonto zu entfernen:
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)

  ```
  $ aws organizations remove-account-from-organization \
      --account-id 123456789012
  ```

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
+ AWS SDKs: [RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)

Nachdem das Mitgliedskonto aus der Organisation entfernt wurde, stellen Sie sicher, dass Sie die IAM-Rollen, die Zugriff auf Ihr Konto gewähren, aus der Organisation.

**Wichtig**  
Wenn Ihr Konto in der Organisation erstellt wurde, hat Organizations automatisch eine IAM-Rolle in dem Konto erstellt, mit dem der Zugriff durch das Verwaltungskonto der Organisation aktiviert wurde. Wenn das Konto zum Beitritt eingeladen wurde, hat Organizations eine solche Rolle nicht automatisch erstellt, allerdings haben möglicherweise Sie oder ein anderer Administrator eine entsprechende Rolle erstellt, um dieselben Vorteile zu erhalten. In beiden Fällen wird beim Entfernen des Kontos aus der Organisation eine solche Rolle nicht automatisch gelöscht. Wenn Sie diesen Zugriff aus dem Verwaltungskonto der früheren Organisation beenden möchten, müssen Sie diese IAM-Rolle manuell löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

Mitgliedskonten können sich stattdessen mit [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html) selbst entfernen. Weitere Informationen finden Sie unter [Verlassen einer Organisation aus einem Mitgliedskonto bei AWS Organizations](orgs_manage_accounts_leave-as-member.md).

------

# Verlassen einer Organisation aus einem Mitgliedskonto bei AWS Organizations
<a name="orgs_manage_accounts_leave-as-member"></a>

Wenn Sie sich mit einem Mitgliedskonto anmelden, können Sie eine Organisation verlassen. Das Verwaltungskonto darf die Organisation nicht mittels dieser Methode verlassen. Um das Verwaltungskonto zu entfernen, müssen Sie die [Organisation löschen](orgs_manage_org_delete.md).

## Überlegungen
<a name="orgs_manage_accounts_leave-as-member-considerations"></a>

**Der Status eines Kontos bei einer Organisation wirkt sich darauf aus, welche Kosten- und Nutzungsdaten sichtbar sind**

Konten haben weiterhin Zugriff auf alle Rechnungen, die ihnen in der Vergangenheit zugestellt wurden, und auf alle von ihnen generierten Rechnungsdaten, unabhängig davon, ob sich die Mitgliedschaft der Organisation geändert hat. Die Sichtbarkeit der Cost Explorer Explorer-Daten hängt jedoch von der aktuellen Mitgliedschaft der Organisation ab. Die folgende Tabelle zeigt, wie sich drei häufig vorkommende Kontoübergänge auf die Datensichtbarkeit auswirken:


****  

|  | Verfügbarkeit von Rechnungen | Verfügbarkeit von Rechnungen (z. B. Seite Rechnungen) | Verfügbarkeit von Cost Explorer | 
| --- | --- | --- | --- | 
| Szenario 1Das Mitgliedskonto verlässt OrganizationA und wird zu einem eigenständigen Konto | Das Konto behält den Zugriff auf alle historischen Rechnungen, die ihm zugestellt wurden. | Das Konto behält den Zugriff auf alle historischen Rechnungsdaten, die es als Mitglied von OrganizationA generiert hat. | Das Konto verliert den Zugriff auf historische Kosten- und Nutzungsdaten, die es als Mitglied von OrganizationA generiert hat. | 
| Szenario 2Das Mitgliedskonto verlässt Organisation A und tritt Organisation B bei | Das Konto behält den Zugriff auf alle historischen Rechnungen, die ihm zugestellt wurden. | Das Konto behält den Zugriff auf alle historischen Rechnungsdaten, die es als Mitglied von OrganizationA generiert hat. | Das Konto verliert den Zugriff auf historische Kosten- und Nutzungsdaten, die es als Mitglied von OrganizationA generiert hat. | 
| Szenario 3Das Konto tritt wieder einer Organisation bei, der es zuvor angehört hat | Das Konto behält den Zugriff auf alle historischen Rechnungen, die ihm zugestellt wurden. | Das Konto behält den Zugriff auf alle historischen Rechnungsdaten, die es generiert hat (unabhängig davon, ob es sich um ein eigenständiges Konto oder als Mitglied einer anderen Organisation handelt). | Das Konto erhält während der gesamten Zeit, in der es Mitglied der Organisation war, wieder Zugriff auf Kosten- und Nutzungsdaten, verliert jedoch den Zugriff auf alle historischen Kosten- und Nutzungsdaten, die außerhalb der aktuellen Organisation generiert wurden. | 

**Für das Konto gelten keine Organisationsvereinbarungen mehr, die in seinem Namen akzeptiert wurden**

Wenn Sie eine Organisation verlassen, gelten Organisationsvereinbarungen für Sie nicht mehr, die in Ihrem Namen vom Verwaltungskonto der Organisation akzeptiert wurden. Sie können eine Liste dieser Organisationsvereinbarungen in der AWS Artifact Konsole auf der Seite [AWS Artifact Organisationsvereinbarungen](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements) einsehen. Bevor Sie die Organisation verlassen, sollten Sie ermitteln (bei Bedarf mit Unterstützung der für rechtliche Angelegenheiten, Datenschutz oder Compliance zuständigen Teams), ob es für Sie notwendig ist, (eine) neue Vereinbarung(en) abzuschließen.

**Die Kontingentgrenzen des Kontos können sich ändern und Auswirkungen haben**

Wenn Sie eine Organisation als Mitgliedskonto verlassen, kann sich dies auf die für dieses Konto verfügbaren Servicekontingentlimits auswirken. Wenn Sie automatisierte Workloads haben, für die höhere Limits erforderlich sind, überprüfen Sie bitte nach dem Verlassen der Organisation erneut Ihre Kontingente in der Servicekontingenten-Konsole, um einen unterbrechungsfreien Betrieb zu gewährleisten. Bitte wenden Sie sich nach dem Verlassen der Organisation an das [AWS Support Center](https://console.aws.amazon.com/support/home#/), um Unterstützung zu erhalten.

## Verlassen Sie eine Organisation über ein Mitgliedskonto
<a name="orgs_manage_accounts_leave-as-member-steps"></a>

Gehen Sie wie folgt vor, um eine Organisation zu verlassen.

**Mindestberechtigungen**  
Zum Verlassen einer -Organisation benötigen Sie folgende Berechtigungen:  
`organizations:DescribeOrganization` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden
`organizations:LeaveOrganization` – Beachten Sie, dass der Administrator der Organisation eine Richtlinie auf Ihr Konto anwenden kann, mit der diese Berechtigung entfernt wird, sodass Sie Ihr Konto nicht aus der Organisation entfernen können.
Wenn Sie sich als IAM-Benutzer anmelden und dem Konto Zahlungsinformationen fehlen, muss der Benutzer entweder über `aws-portal:ModifyBilling` und `aws-portal:ModifyPaymentMethods` Berechtigungen (wenn das Konto noch nicht zu detaillierten Berechtigungen migriert wurde) ODER über `payments:CreatePaymentInstrument` und `payments:UpdatePaymentPreferences` Berechtigungen (wenn das Konto zu detaillierten Berechtigungen migriert wurde) verfügen. Außerdem muss für das Mitgliedskonto ein IAM-Benutzerzugriff auf die Abrechnung aktiviert sein. Wenn dies nicht bereits aktiviert ist, finden Sie weitere Informationen unter [Den Zugriff auf die Fakturierung und Kostenmanagement-Konsole aktivieren](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) im *AWS Billing -Benutzerhandbuch*.

------
#### [ AWS-Managementkonsole ]

**So verlassen Sie eine Organisation in Ihrem Mitgliedskonto**

1. Melden Sie sich an der AWS Organizations Konsole auf der [AWS Organizations Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Mitgliedskonto als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

   Standardmäßig haben Sie keinen Zugriff auf das Root-Benutzerkennwort in einem Mitgliedskonto, das mit erstellt wurde AWS Organizations. Falls erforderlich, stellen Sie das Root-Benutzerkennwort wieder her, indem Sie die Schritte **unter Verwenden des Root-Benutzers (nicht für alltägliche Aufgaben empfohlen)** unter ausführen[Zugreifen auf Mitgliedskonten in einer Organisation mit AWS Organizations](orgs_manage_accounts_access.md).

1. Wählen Sie auf der Seite **[Organisations-Dashboard](https://console.aws.amazon.com/organizations/v2/home/dashboard)** die Option **Diese Organisation verlassen** aus.

1. Wählen Sie im Dialogfeld **Verlassen der Organisation bestätigen?** **Organisation verlassen**. Wenn Sie dazu aufgefordert werden, bestätigen Sie Ihre Wahl, um das Konto zu löschen. Nach der Bestätigung werden Sie auf die Seite **Erste Schritte** der AWS Organizations Konsole weitergeleitet, auf der Sie alle ausstehenden Einladungen für Ihr Konto zum Beitritt zu anderen Organisationen einsehen können.

   Wenn Sie die Meldung **Sie können die Organisation noch nicht verlassen** sehen, verfügt Ihr Konto nicht über alle erforderlichen Informationen, um als eigenständiges Konto betrieben zu werden. In diesem Fall fahren Sie mit dem nächsten Schritt fort.

1. Wenn der **Verlassen der Organisation bestätigen?** Im Dialogfeld wird die Meldung **Sie können die Organisation noch nicht verlassen**, klicken Sie auf den Link **Schritte zur Kontoregistrierung abschließen**.

   Wenn der Link „**Schritte zur Kontoregistrierung abschließen“ nicht angezeigt wird, klicken Sie auf [diesen Link](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True), um zur AWS Anmeldeseite** **zu** gelangen und die fehlenden Registrierungsschritte abzuschließen.

1. Geben Sie auf der ** AWS-Anmeldeseite** alle erforderlichen Informationen ein, um ein eigenständiges Konto zu erstellen. Dies kann die folgenden Arten von Informationen umfassen:
   + Name und Adresse der Kontaktperson
   + Gültige Zahlungsmethode
   + Verifizierung der Telefonnummer
   + Optionen für den Supportplan

1. Wenn Sie das Dialogfenster zum Abschluss des Anmeldevorgangs sehen, wählen Sie **Leave organization** aus.

   Ein Bestätigungsdialogfeld wird angezeigt. Bestätigen Sie Ihre Wahl, um das Konto zu löschen. Sie werden auf die Seite „**Erste Schritte**“ der AWS Organizations Konsole weitergeleitet, auf der Sie alle ausstehenden Einladungen für Ihr Konto zum Beitritt zu anderen Organisationen einsehen können.

1. Entfernen Sie die IAM-Rollen, die Zugriff auf Ihr Konto gewähren, aus der Organisation.
**Wichtig**  
Wenn Ihr Konto in der Organisation erstellt wurde, hat Organizations automatisch eine IAM-Rolle in dem Konto erstellt, mit dem der Zugriff durch das Verwaltungskonto der Organisation aktiviert wurde. Wenn das Konto zum Beitritt eingeladen wurde, hat Organizations eine solche Rolle nicht automatisch erstellt, allerdings haben möglicherweise Sie oder ein anderer Administrator eine entsprechende Rolle erstellt, um dieselben Vorteile zu erhalten. In beiden Fällen wird beim Entfernen des Kontos aus der Organisation eine solche Rolle nicht automatisch gelöscht. Wenn Sie diesen Zugriff aus dem Verwaltungskonto der früheren Organisation beenden möchten, müssen Sie diese IAM-Rolle manuell löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

------
#### [ AWS CLI & AWS SDKs ]

**Verlassen einer Organisation als Mitgliedskonto**  
Sie können einen der folgenden Befehle verwenden, um eine Organisation zu verlassen:
+ AWS CLI: [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)

  Das folgende Beispiel bewirkt, dass das Konto, dessen Anmeldeinformationen zum Ausführen des Befehls verwendet werden, die Organisation verlässt.

  ```
  $ aws organizations leave-organization
  ```

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
+ AWS SDKs: [LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)

Nachdem das Mitgliedskonto die Organisation verlassen hat, stellen Sie sicher, dass Sie die IAM-Rollen, die Zugriff auf Ihr Konto gewähren, aus der Organisation.

**Wichtig**  
Wenn Ihr Konto in der Organisation erstellt wurde, hat Organizations automatisch eine IAM-Rolle in dem Konto erstellt, mit dem der Zugriff durch das Verwaltungskonto der Organisation aktiviert wurde. Wenn das Konto zum Beitritt eingeladen wurde, hat Organizations eine solche Rolle nicht automatisch erstellt, allerdings haben möglicherweise Sie oder ein anderer Administrator eine entsprechende Rolle erstellt, um dieselben Vorteile zu erhalten. In beiden Fällen wird beim Entfernen des Kontos aus der Organisation eine solche Rolle nicht automatisch gelöscht. Wenn Sie diesen Zugriff aus dem Verwaltungskonto der früheren Organisation beenden möchten, müssen Sie diese IAM-Rolle manuell löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

Mitgliedskonten können [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)stattdessen auch von einem Benutzer im Verwaltungskonto mit entfernt werden. Weitere Informationen finden Sie unter [Ein Mitgliedskonto aus einer Organisation entfernen](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account).

------

# Aktualisierung des Kontonamens für ein Mitgliedskonto mit AWS Organizations
<a name="orgs_manage_accounts_update_name"></a>

Wenn Sie sich beim Verwaltungskonto Ihrer Organisation anmelden, können Sie den Kontonamen für ein Mitgliedskonto aktualisieren. Um zu erfahren, wie Sie den Namen eines Mitgliedskontos aktualisieren, folgen Sie den Schritten unter [Aktualisieren des Kontonamens für jedes AWS-Konto Mitglied Ihrer Organisation](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs) im *AWS -Kontenverwaltung Referenzhandbuch*.

# Aktualisierung der E-Mail-Adresse des Root-Benutzers für ein Mitgliedskonto bei AWS Organizations
<a name="orgs_manage_accounts_update_primary_email"></a>

Um die Sicherheit und die administrative Stabilität zu erhöhen, können IAM-Principals im Verwaltungskonto (die über die erforderlichen IAM-Berechtigungen verfügen) eine Root-Benutzer-E-Mail-Adresse von bezeichnet) für jedes ihrer Mitgliedskonten zentral aktualisieren, ohne sich bei jedem Konto einzeln anmelden zu müssen. Dadurch haben Administratoren im Verwaltungskonto (oder in einem delegierten Administratorkonto) mehr Kontrolle über ihre Mitgliedskonten. Es stellt auch sicher, dass die E-Mail-Adressen von Root-Benutzern, von allen Mitgliedskonten in Ihrem Land auf dem neuesten Stand gehalten werden AWS Organizations können, auch wenn Sie möglicherweise den Zugriff auf die ursprüngliche Root-Benutzer-E-Mail-Adresse, die oder die Administratoranmeldedaten verloren haben.

Wenn die E-Mail-Adresse des Root-Benutzers zentral von einem Administrator des Verwaltungskontos geändert wird, bleiben sowohl das Passwort als auch die MFA-Konfiguration unverändert wie vor der Änderung. Beachten Sie, dass MFA von einem Benutzer umgangen werden kann, der die Kontrolle über die Root-Benutzer-E-Mail-Adresse, die  und die primäre Kontakttelefonnummer eines Kontos hat. 

Um die E-Mail-Adresse des Stammbenutzers in Ihrer Organisation zu aktualisieren, muss Ihre Organisation zuvor den Modus „[Alle Funktionen](orgs_getting-started_concepts.md#feature-set-all)“ aktiviert haben. AWS Organizations im konsolidierten Abrechnungsmodus oder bei Konten, die nicht Teil einer Organisation sind, können ihre Root-Benutzer-E-Mail-Adresse nicht zentral aktualisieren. Die kann nicht zentral aktualisiert werden. Benutzer, die die E-Mail-Adresse des Root-Benutzers () für Konten ändern möchten, die von der API nicht unterstützt werden, sollten weiterhin die Rechnungskonsole verwenden, um ihre Root-Benutzer-E-Mail-Adresse () zu verwalten.

 step-by-stepAnweisungen zum Aktualisieren der Root-Benutzer-E-Mail-Adresse Ihres Mitgliedskontos und der finden Sie unter [Aktualisieren der Root-Benutzer-E-Mail-Adresse von für alle Benutzer AWS-Konto in Ihrer Organisation](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs) im *AWS -Kontenverwaltung Referenzhandbuch*.

# Kontoeinladungen verwalten mit AWS Organizations
<a name="orgs_manage_accounts_invites"></a>

Nachdem Sie [eine Organisation erstellt](orgs_manage_org_create.md) und sich [vergewissert haben, dass Sie Eigentümer der mit dem Verwaltungskonto verknüpften E-Mail-Adresse](about-email-verification.md) sind, können Sie bestehende Personen AWS-Konten einladen, Ihrer Organisation beizutreten. Verwenden Sie die AWS Organizations Konsole, um Einladungen zu initiieren und zu verwalten, die Sie an andere Konten senden. Sie können Einladungen nur über das Verwaltungskonto Ihrer Organisation an andere Konten senden.

Wenn Sie ein Konto einladen, wird eine Einladung an den Kontoinhaber AWS Organizations gesendet, der entscheiden kann, ob er die Einladung annehmen oder ablehnen möchte.

Wenn Sie der Administrator eines sind AWS-Konto, können Sie auch eine Einladung einer Organisation annehmen oder ablehnen. Wenn Sie annehmen, wird Ihr Konto Mitglied dieser Organisation.

Informationen zum Erstellen eines Kontos, das automatisch Teil einer Organisation ist, finden Sie unter[Erstellen eines Mitgliedskontos in einer Organisation mit AWS Organizations](orgs_manage_accounts_create.md).

**Wichtig**  
Alle Konten in einer Organisation müssen aus derselben AWS Partition stammen wie das Verwaltungskonto. Konten in der kommerziellen AWS-Regionen Partition können sich nicht in einer Organisation mit Konten aus der Partition China Regions oder Konten in der Partition AWS GovCloud (US) Regions befinden.

**Topics**
+ [Überlegungen](#impact_of_join)
+ [Einladungen versenden](orgs_manage_accounts_invite-account.md)
+ [Ausstehende Einladungen verwalten](orgs_manage_accounts_manage-invites.md)
+ [Einladungen annehmen oder ablehnen](orgs_manage_accounts_accept-decline-invite.md)

## Überlegungen
<a name="impact_of_join"></a>

**Die Anzahl der Einladungen, die Sie pro Tag versenden können, ist begrenzt**

Beschränkungen der Anzahl der Einladungen, die Sie pro Tag versenden können, finden Sie unter[Höchst- und Mindestwerte](orgs_reference_limits.md#min-max-values). Akzeptierte Einladungen werden nicht auf dieses Kontingent angerechnet. Sobald eine Einladung akzeptiert wird, können Sie am selben Tag eine weitere Einladung senden. Jede Einladung muss innerhalb von 15 Tagen oder bis zu ihrem Ablauf beantwortet werden.

Eine an ein Konto gesendete Einladung wird auf das Kontokontingent in Ihrer Organisation angerechnet. Die Anzahl wird zurückgesetzt, wenn das eingeladene Konto abgelehnt wird, wenn das Verwaltungskonto die Einladung storniert oder die Einladung abläuft.

**Ein Konto kann nur einer Organisation beitreten**

Ein Konto kann nur einer Organisation beitreten. Wenn Sie mehrere Einladungen erhalten, können Sie nur eine annehmen.

**Der Abrechnungsverlauf und die Berichte verbleiben im Verwaltungskonto**

Der Abrechnungsverlauf und die Berichte für alle Konten verbleiben beim Verwaltungskonto einer Organisation. Bevor Sie das Konto in eine neue Organisation verschieben, sollten Sie alle Abrechnungs- und Berichtsverläufe für alle Mitgliedskonten, die Sie behalten möchten, exportieren oder sichern. Dies kann [Kosten- und Nutzungsberichte](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html), [Cost Explorer Explorer-Berichte](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html), [Savings Plans Plans-Berichte](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr) sowie die [Nutzung und Abdeckung von Reserved Instance (RI)](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer) umfassen.

**Das Verwaltungskonto ist für alle Gebühren verantwortlich, die auf Mitgliedskonten anfallen**

Nachdem ein Konto die Einladung zum Beitritt zu einer Organisation angenommen hat, ist das Verwaltungskonto der Organisation für alle Gebühren verantwortlich, die durch das neue Mitgliedskonto anfallen. Die dem Mitgliedskonto zugeordnete Zahlungsmethode wird nicht mehr verwendet. Stattdessen bezahlt die Zahlungsart, die dem Verwaltungskonto der Organisation zugeordnet ist, alle Gebühren, die vom Mitgliedskonto anfallen.

**Organizations erstellt automatisch die serviceverknüpfte Rolle `AWSServiceRoleForOrganizations`**

AWS Organizations erstellt eine dienstbezogene Rolle, die `AWSServiceRoleForOrganizations` zur Unterstützung von Integrationen zwischen AWS Organizations und anderen Diensten aufgerufen wird. AWS Weitere Informationen finden Sie unter [AWS Organizations und dienstbezogene Rollen](orgs_integrate_services.md#orgs_integrate_services-using_slrs). Das eingeladene Konto muss diese Rolle haben, wenn Ihre Organisation [alle](orgs_getting-started_concepts.md#feature-set-all) Funktionen unterstützt. Sie können diese Rolle löschen, wenn die Organisation nur den Funktionsumfang für die [konsolidierte Abrechnung](orgs_getting-started_concepts.md#feature-set-cb-only) unterstützt. Wenn Sie diese Rolle löschen und später alle Funktionen in Ihrer Organisation aktivieren, wird diese Rolle für das Konto AWS Organizations neu erstellt.

**Organizations erstellt die IAM-Rolle nicht automatisch `OrganizationAccountAccessRole`**

Für Konten eingeladener Mitglieder wird die AWS Organizations IAM-Rolle nicht automatisch erstellt. [`OrganizationAccountAccessRole`](orgs_manage_accounts_access-cross-account-role.md) Diese Rolle gewährt Benutzern im Verwaltungskonto Administratorzugriff auf das Mitgliedskonto. Wenn Sie diese Ebene der administrativen Kontrolle für ein eingeladenes Konto aktivieren möchten, können Sie die Rolle manuell hinzufügen. Weitere Informationen finden Sie unter [Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).

**Anmerkung**  
Wenn Sie in Ihrer Organisation ein Konto erstellen, anstatt ein vorhandenes Konto zum Beitritt einzuladen, AWS Organizations wird standardmäßig automatisch die IAM-Rolle `OrganizationAccountAccessRole` erstellt.

**Richtlinien, die dem Stamm oder der Organisationseinheit zugeordnet sind und das Konto enthalten, gelten sofort**

Wenn dem Stamm oder der Organisationseinheit (OU), die das eingeladene Konto enthält, Richtlinien zugeordnet sind, gelten diese Richtlinien sofort für alle Benutzer und Rollen im eingeladenen Konto.

Sie können [Service Trust für einen anderen AWS Dienst Ihrer Organisation aktivieren](orgs_integrate_services_list.md). Wenn Sie dies tun, kann dieser vertrauenswürdige Service serviceverknüpfte Rollen erstellen oder in einem beliebigen Mitgliedskonto der Organisation, einschließlich einem eingeladenen Konto, Aktionen ausführen.

**Organizations, die nur über die Funktionen für konsolidierte Fakturierung verfügen, können weiterhin Konten einladen**

Sie können ein Konto zum Beitritt zu einer Organisation einladen, für die nur die konsolidierte Fakturierung aktiviert ist. Wenn Sie später alle Funktionen für die Organisation aktivieren möchten, müssen eingeladene Konten die Änderung genehmigen.

# Senden von Kontoeinladungen mit AWS Organizations
<a name="orgs_manage_accounts_invite-account"></a>

Um Konten zu Ihrer Organisation einladen zu können, müssen Sie zuerst überprüfen, ob Sie sich im Besitz der E-Mail-Adresse befinden, die mit dem Verwaltungskonto verknüpft ist. Weitere Informationen finden Sie unter [Überprüfung der E-Mail-Adresse mit AWS Organizations](about-email-verification.md). Nachdem Sie Ihre E-Mail-Adresse verifiziert haben, führen Sie die folgenden Schritte aus, um Konten zu Ihrer Organisation einzuladen.

**Mindestberechtigungen**  
 AWS-Konto Um einen einzuladen, Ihrer Organisation beizutreten, benötigen Sie die folgenden Berechtigungen:  
`organizations:DescribeOrganization` (nur Konsole)
`organizations:InviteAccountToOrganization`

------
#### [ AWS-Managementkonsole ]

**Einladen eines anderen Kontos zu Ihrer Organisation**

1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

1. Wenn Sie Ihre E-Mail-Adresse bereits mit bestätigt haben AWS, überspringen Sie diesen Schritt.

   Wenn Sie Ihre E-Mail-Adresse noch nicht bestätigt haben, befolgen Sie die Anweisungen in der [Verifizierungs-E-Mail](about-email-verification.md) innerhalb von 24 Stunden, nachdem Sie die Organisation erstellt haben. Es kann eine Verzögerung eintreten, bevor Sie die Verifizierungs-E-Mail-Nachricht erhalten. Sie können ein Konto erst dann zum Beitritt zu Ihrer Organisation einladen, wenn Sie Ihre E-Mail-Adresse verifiziert haben. 

1. Navigieren Sie zu **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** und wählen Sie **Hinzufügen eines AWS -Kontos** aus.

1. Klicken Sie auf der Seite **[Hinzufügen eines AWS-Konto](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** auf **Einladen eines vorhandenen AWS -Kontos**.

1. Geben **[Sie auf der AWS Seite Eine bestehende](https://console.aws.amazon.com/organizations/v2/home/accounts/add/invite)** Einladung in das Feld **E-Mail-Adresse oder Konto-ID der AWS-Konto einzuladenden** Person entweder die E-Mail-Adresse ein, die mit dem Konto verknüpft ist, das eingeladen werden soll, oder dessen Konto-ID-Nummer. 

1. (Optional) Geben Sie für **Nachricht in der Einladungs-E-Mail-Nachricht** einen beliebigen Text ein, den Sie in die E-Mail-Einladung an den eingeladenen Kontoinhaber einfügen möchten.

1. (Optional) Geben Sie im Abschnitt **Tags hinzufügen** ein oder mehrere Tags an, die automatisch auf das Konto angewendet werden, nachdem der Administrator die Einladung angenommen hat. Wählen Sie dazu **Tag hinzufügen** und geben Sie dann einen Schlüssel und einen optionalen Wert ein. Wenn Sie den Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht `null`. Sie können bis zu 50 Tags an ein AWS-Konto anfügen.

1. Wählen Sie **Send invitation** (Einladung senden) aus.
**Wichtig**  
Wenn Sie eine Meldung erhalten, die darauf hinweist, dass Sie Ihr Kontokontingent für die Organisation überschritten haben oder dass Sie kein Konto hinzufügen können, weil Ihre Organisation immer noch initialisiert wird, wenden Sie sich an [AWS Support](https://console.aws.amazon.com/support/home#/).

1. Die Konsole leitet Sie zur Seite **[Einladungen](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)** weiter, auf der Sie alle offenen und angenommenen Einladungen hier anzeigen können. Die Einladung, die Sie gerade erstellt haben, wird oben auf der Liste mit dem Status **OPEN** angezeigt.

   AWS Organizations sendet eine Einladung an die E-Mail-Adresse des Inhabers des Kontos, das Sie zur Organisation eingeladen haben. Diese E-Mail-Nachricht enthält einen Link zur AWS Organizations Konsole, über die der Kontoinhaber die Details einsehen und entscheiden kann, ob er die Einladung annehmen oder ablehnen möchte. Alternativ kann der Inhaber des eingeladenen Accounts die E-Mail-Nachricht umgehen, direkt zur AWS Organizations Konsole wechseln, die Einladung ansehen und sie annehmen oder ablehnen.

   Die Einladung für dieses Konto wird sofort auf die maximale Anzahl der Konten, die Sie in Ihrer Organisation haben können, angerechnet; AWS Organizations wartet nicht, bis das Konto die Einladung annimmt. Wenn das eingeladene Konto ablehnt, hebt das Verwaltungskonto die Einladung auf. Wenn das eingeladene Konto nicht innerhalb des angegebenen Zeitraums reagiert, läuft die Einladung ab. In beiden Fällen wird die Einladung Ihrem Kontingent nicht mehr angerechnet.

------
#### [ AWS CLI & AWS SDKs ]

**Einladen eines anderen Kontos zu Ihrer Organisation**  
Sie können einen der folgenden Befehle verwenden, um ein anderes Konto zum Beitritt zu Ihrer Organisation einzuladen:
+ AWS CLI: [invite-account-to-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/invite-account-to-organization.html) 

  ```
  $ aws organizations invite-account-to-organization \
      --target '{"Type": "EMAIL", "Id": "juan@example.com"}' \
      --notes "This is a request for Juan's account to join Bill's organization."
  {
      "Handshake": {
          "Action": "INVITE",
          "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
          "ExpirationTimestamp": 1482952459.257,
          "Id": "h-examplehandshakeid111",
          "Parties": [
              {
                  "Id": "o-exampleorgid",
                   "Type": "ORGANIZATION"
              },
              {
                   "Id": "juan@example.com",
                   "Type": "EMAIL"
              }
          ],
          "RequestedTimestamp": 1481656459.257,
          "Resources": [
              {
                  "Resources": [
                      {
                          "Type": "MASTER_EMAIL",
                          "Value": "bill@amazon.com"
                      },
                      {
                           "Type": "MASTER_NAME",
                           "Value": "Management Account"
                      },
                      {
                           "Type": "ORGANIZATION_FEATURE_SET",
                           "Value": "FULL"
                      }
                  ],
                  "Type": "ORGANIZATION",
                  "Value": "o-exampleorgid"
              },
              {
                  "Type": "EMAIL",
                  "Value": "juan@example.com"
              }
          ],
          "State": "OPEN"
      }
  }
  ```
+ AWS SDKs: [InviteAccountToOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_InviteAccountToOrganization.html)

------

# Verwaltung ausstehender Kontoeinladungen mit AWS Organizations
<a name="orgs_manage_accounts_manage-invites"></a>

Wenn Sie an Ihrem Verwaltungskonto angemeldet sind, können Sie alle verknüpften AWS-Konten innerhalb Ihrer Organisation sehen und schwebende (offene) Einladungen abbrechen. Führen Sie dazu die folgenden Schritte aus.

**Mindestberechtigungen**  
Zum Verwalten schwebender Einladungen für Ihre Organisation benötigen Sie folgende Berechtigungen:  
`organizations:DescribeOrganization` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden
`organizations:ListHandshakesForOrganization` 
`organizations:CancelHandshake`

------
#### [ AWS-Managementkonsole ]

**Ansehen oder Abbrechen von Einladungen, die von Ihrer Organisation an andere Konten gesendet wurden**

1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

1. Navigieren Sie zur Seite **[Einladungen](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**. 

   Auf dieser Seite werden alle Einladungen, die von Ihrer Organisation gesendet werden, und deren aktuellen Status angezeigt.

   Wenn Sie keine Einladung sehen können, überprüfen Sie, ob es sich bei dem eingeladenen Konto um das Verwaltungskonto einer anderen Organisation handelt. Nur Mitgliedskonten und eigenständige Konten können Einladungen erhalten. Verwaltungskonten können keine Einladungen erhalten.

   Wenn Sie ein Konto einladen möchten, bei dem es sich um ein Verwaltungskonto in einer anderen Organisation handelt, wird empfohlen, dieses Konto zu einem eigenständigen Konto zu machen.
**Anmerkung**  
Akzeptierte, abgebrochene und abgelehnte Einladungen werden 30 Tage lang weiterhin in der Liste angezeigt. Danach werden sie gelöscht und nicht mehr in der Liste angezeigt.

1. Wählen Sie das Optionsfeld ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/radio-button-selected.png)neben der Einladung aus, die Sie abbrechen möchten und wählen Sie dann **Einladung stornieren** aus. Wenn das Optionsfeld ausgegraut ist, kann diese Einladung nicht storniert werden.

   Der Status der Einladung ändert sich von **Offen** in **Abgebrochen**.

   AWS sendet eine E-Mail-Nachricht an den Kontoinhaber, dass Sie die Einladung storniert haben. Das Konto kann der Organisation nicht mehr beitreten, es sei denn, Sie senden eine neue Einladung.

------
#### [ AWS CLI & AWS SDKs ]

**Ansehen oder Abbrechen von Einladungen, die von Ihrer Organisation an andere Konten gesendet wurden**  
Mit den folgenden Befehlen können Sie Einladungen anzeigen oder stornieren:
+ AWS CLI: [list-handshakes-for-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-organization.html), Handshake [abbrechen](https://docs.aws.amazon.com/cli/latest/reference/organizations/cancel-handshake.html) 
+ Das folgende Beispiel zeigt die Einladungen, die von dieser Organisation an andere Konten gesendet werden.

  ```
  $ aws organizations list-handshakes-for-organization
  {
      "Handshakes": [
          {
              "Action": "INVITE",
              "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
              "ExpirationTimestamp": 1482952459.257,
              "Id": "h-examplehandshakeid111",
              "Parties": [
                  {
                      "Id": "o-exampleorgid",
                      "Type": "ORGANIZATION"
                  },
                  {
                      "Id": "juan@example.com",
                      "Type": "EMAIL"
                  }
              ],
              "RequestedTimestamp": 1481656459.257,
              "Resources": [
                  {
                      "Resources": [
                          {
                              "Type": "MASTER_EMAIL",
                              "Value": "bill@amazon.com"
                          },
                          {
                              "Type": "MASTER_NAME",
                              "Value": "Management Account"
                          },
                          {
                              "Type": "ORGANIZATION_FEATURE_SET",
                              "Value": "FULL"
                          }
                      ],
                      "Type": "ORGANIZATION",
                      "Value": "o-exampleorgid"
                  },
                  {
                      "Type": "EMAIL",
                      "Value": "juan@example.com"
                  },
                  {
                      "Type":"NOTES",
                      "Value":"This is an invitation to Juan's account to join Bill's organization."
                  }
              ],
              "State": "OPEN"
          },
          {
              "Action": "INVITE",
              "State":"ACCEPTED",
              "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
              "ExpirationTimestamp": 1.471797437427E9,
              "Id": "h-examplehandshakeid222",
              "Parties": [
                  {
                      "Id": "o-exampleorgid",
                      "Type": "ORGANIZATION"
                  },
                  {
                      "Id": "anika@example.com",
                      "Type": "EMAIL"
                  }
              ],
              "RequestedTimestamp": 1.469205437427E9,
              "Resources": [
                  {
                      "Resources": [
                          {
                              "Type":"MASTER_EMAIL",
                               "Value":"bill@example.com"
                          },
                          {
                              "Type":"MASTER_NAME",
                              "Value":"Management Account"
                          }
                      ],
                      "Type":"ORGANIZATION",
                      "Value":"o-exampleorgid"
                  },
                  {
                      "Type":"EMAIL",
                      "Value":"anika@example.com"
                  },
                  {
                      "Type":"NOTES",
                      "Value":"This is an invitation to Anika's account to join Bill's organization."
                  }
              ]
          }
      ]
  }
  ```

  Im folgenden Beispiel wird gezeigt, wie Sie eine Einladung zu einem Konto abbrechen.

  ```
  $ aws organizations cancel-handshake --handshake-id h-examplehandshakeid111
  {
      "Handshake": {
          "Id": "h-examplehandshakeid111",
          "State":"CANCELED",
          "Action": "INVITE",
          "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
          "Parties": [
              {
                  "Id": "o-exampleorgid",
                  "Type": "ORGANIZATION"
              },
              {
                  "Id": "susan@example.com",
                  "Type": "EMAIL"
              }
          ],
          "Resources": [
              {
                  "Type": "ORGANIZATION",
                  "Value": "o-exampleorgid",
                  "Resources": [
                      {
                          "Type": "MASTER_EMAIL",
                          "Value": "bill@example.com"
                      },
                      {
                          "Type": "MASTER_NAME",
                          "Value": "Management Account"
                      },
                      {
                          "Type": "ORGANIZATION_FEATURE_SET",
                          "Value": "CONSOLIDATED_BILLING"
                      }
                  ]
              },
              {
                  "Type": "EMAIL",
                  "Value": "anika@example.com"
              },
              {
                  "Type": "NOTES",
                  "Value": "This is a request for Susan's account to join Bob's organization."
              }
          ],
          "RequestedTimestamp": 1.47008383521E9,
          "ExpirationTimestamp": 1.47137983521E9
      }
  }
  ```
+ AWS SDKs: [ListHandshakesForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListHandshakesForOrganization.html), [CancelHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CancelHandshake.html)

------

# Annahme oder Ablehnung von Kontoeinladungen mit AWS Organizations
<a name="orgs_manage_accounts_accept-decline-invite"></a>

Wenn Sie eine Einladung erhalten, einer Organisation beizutreten, können Sie die Einladung annehmen oder ablehnen.

## Überlegungen
<a name="orgs_manage_accounts_accept-decline-invite-considerations"></a>

**Der Status eines Kontos bei einer Organisation wirkt sich darauf aus, welche Kosten- und Nutzungsdaten sichtbar sind**

Wenn ein Mitgliedskonto eine Organisation verlässt und ein eigenständiges Konto wird, hat das Konto keinen Zugriff mehr auf Kosten- und Nutzungsdaten aus dem Zeitraum, als das Konto ein Mitglied der Organisation war. Das Konto hat nur Zugriff auf die Daten, die als ein eigenständiges Konto generiert werden.

Wenn ein Mitgliedskonto Organisation A verlässt, um Organisation B beizutreten, hat das Konto keinen Zugriff mehr auf Kosten- und Nutzungsdaten aus dem Zeitraum, als das Konto Mitglied der Organisation A war. Das Konto hat nur Zugriff auf die Daten, die Mitglied der Organisation B generiert werden.

Wenn ein Konto erneut einer Organisation beitritt, zu der es vorher gehörte, erhält das Konto wieder Zugriff auf seine früheren Kosten- und Nutzungsdaten.

**Nur Mitgliedskonten und eigenständige Konten können eine Einladung annehmen oder ablehnen**

Einladungen zum Beitritt zu einer Organisation können nur von Mitgliedskonten und eigenständigen Konten angenommen oder abgelehnt werden. Wenn eine Einladung an ein Verwaltungskonto gesendet wird, das bereits Teil einer Organisation ist, kann dieses Konto die Einladung erst sehen, wenn es [alle Mitgliedskonten aus seiner Organisation entfernt](orgs_manage_accounts_remove.md) und [die Organisation gelöscht](orgs_manage_org_delete.md) hat.

**CloudTrail Die Protokollierung erfolgt in dem Konto, das die Aktion ausführt**

Wenn ein Mitgliedskonto oder ein eigenständiges Konto eine Kontoeinladung annimmt oder ablehnt, wird diese Aktion im CloudTrail Protokoll des handelnden Kontos protokolliert. Wenn es sich bei dem handelnden Konto um ein Mitgliedskonto handelt, wird diese Aktion nicht in den Protokollen des Verwaltungskontos CloudTrail protokolliert. Dies entspricht der CloudTrail Protokollierung in verwandten Szenarien (z. B. Das Mitgliedskonto, das die Organisation verlässt, wird im Mitgliedskonto-Trail angemeldet, das Verwaltungskonto, das das Mitgliedskonto löscht, wird im Verwaltungskonto-Trail protokolliert). 

## Eine Einladung zum Konto annehmen oder ablehnen
<a name="orgs_manage_accounts_accept-decline-invite-steps"></a>

Gehen Sie wie folgt vor, um die Einladung anzunehmen oder abzulehnen.

**Mindestberechtigungen**  
Zum Akzeptieren oder Ablehnen einer Einladung zum Beitritt einer -Organisation benötigen Sie folgende Berechtigungen:  
`organizations:ListHandshakesForAccount`— Erforderlich, um die Liste der Einladungen in der AWS Organizations Konsole zu sehen.
`organizations:AcceptHandshake`.
`organizations:DeclineHandshake`.
`organizations:LeaveOrganization`— Nur erforderlich, wenn Sie eine Einladung annehmen, wenn Ihr Konto bereits Mitglied einer Organisation ist.
`iam:CreateServiceLinkedRole`— Nur erforderlich, wenn die Annahme der Einladung die Erstellung einer dienstbezogenen Rolle im Mitgliedskonto erfordert, um die Integration mit anderen AWS-Services zu unterstützen. Weitere Informationen finden Sie unter [AWS Organizations und dienstbezogene Rollen](orgs_integrate_services.md#orgs_integrate_services-using_slrs).

------
#### [ AWS-Managementkonsole ]

**Akzeptieren oder Ablehnen einer Einladung**

1. Eine Einladung zu einer Organisation wird an die E-Mail-Adresse des Kontoinhabers gesendet. Wenn Sie ein Kontoinhaber sind und eine Einladungs-E-Mail-Nachricht erhalten, befolgen Sie die Anweisungen in der E-Mail-Einladung oder gehen Sie in Ihrem Browser zur [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) und wählen Sie dann **Einladungen** oder gehen Sie direkt zur **[Einladungsseite des Mitgliedskontos](https://console.aws.amazon.com/organizations/v2/home/invitations)**.

1. Wenn Sie dazu aufgefordert werden, melden Sie sich im eingeladen Konto als IAM-Benutzer an, nehmen Sie eine IAM-Rolle an oder melden Sie sich als Stammbenutzer an ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

1. Auf der **[Einladungsseite des Mitgliedskontos](https://console.aws.amazon.com/organizations/v2/home/invitations)** werden die offenen Einladungen Ihres Kontos zum Beitritt zu Organisationen angezeigt.

   Wählen Sie entsprechend **Einladung annehmen** oder **Einladung ablehnen**.
   + Wenn Sie im vorherigen Schritt **Einladung annehmen** auswählen, leitet Sie die Konsole zur Seite [Organisationsübersicht](https://console.aws.amazon.com/organizations/v2/home/dashboard) mit Details zu der Organisation weiter, der Ihr Konto jetzt angehört. Sie können die ID der Organisation und die E-Mail-Adresse des Inhabers sehen.
**Anmerkung**  
Akzeptierte Einladungen werden 30 Tage lang weiterhin in der Liste angezeigt. Danach werden sie gelöscht und nicht mehr in der Liste angezeigt.

     AWS Organizations erstellt automatisch eine dienstbezogene Rolle im neuen Mitgliedskonto, um die Integration zwischen AWS Organizations und anderen zu unterstützen. AWS-Services Weitere Informationen finden Sie unter [AWS Organizations und dienstbezogene Rollen](orgs_integrate_services.md#orgs_integrate_services-using_slrs).

     AWS sendet eine E-Mail-Nachricht an den Inhaber des Verwaltungskontos der Organisation, dass Sie die Einladung angenommen haben. Außerdem wird eine E-Mail-Nachricht an den Inhaber des Mitgliedskontos gesendet, aus der hervorgeht, dass das Konto jetzt Mitglied der Organisation ist.
   + Wenn Sie im vorherigen Schritt **Ablehnen** ausgewählt haben, bleibt Ihr Konto auf der Seite **[Einladung für Mitgliedskonten](https://console.aws.amazon.com/organizations/v2/home/invitations)**, auf der alle anderen schwebenden Einladungen aufgeführt sind.

     AWS sendet eine E-Mail-Nachricht an den Inhaber des Verwaltungskontos der Organisation, dass Sie die Einladung abgelehnt haben.
**Anmerkung**  
Abgelehnte Einladungen werden 30 Tage lang weiterhin in der Liste angezeigt. Danach werden sie gelöscht und nicht mehr in der Liste angezeigt.

------
#### [ AWS CLI & AWS SDKs ]

**Akzeptieren oder Ablehnen einer Einladung**  
Mit den folgenden Befehlen können Sie Einladungen annehmen oder ablehnen:
+ AWS CLI: [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html), [decline-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/decline-handshake.html) 

  Im folgenden Beispiel wird gezeigt, wie Sie eine Einladung zum Beitritt einer Organisation annehmen.

  ```
  $ aws organizations accept-handshake --handshake-id h-examplehandshakeid111
  {
      "Handshake": {
          "Action": "INVITE",
          "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
          "RequestedTimestamp": 1481656459.257,
          "ExpirationTimestamp": 1482952459.257,
          "Id": "h-examplehandshakeid111",
          "Parties": [
              {
                  "Id": "o-exampleorgid",
                  "Type": "ORGANIZATION"
              },
              {
                  "Id": "juan@example.com",
                  "Type": "EMAIL"
              }
          ],
          "Resources": [
              {
                  "Resources": [
                      {
                          "Type": "MASTER_EMAIL",
                          "Value": "bill@amazon.com"
                      },
                      {
                          "Type": "MASTER_NAME",
                          "Value": "Management Account"
                      },
                      {
                          "Type": "ORGANIZATION_FEATURE_SET",
                           "Value": "ALL"
                      }
                  ],
                  "Type": "ORGANIZATION",
                  "Value": "o-exampleorgid"
              },
              {
                  "Type": "EMAIL",
                  "Value": "juan@example.com"
              }
          ],
          "State": "ACCEPTED"
      }
  }
  ```

  Im folgenden Beispiel wird gezeigt, wie Sie eine Einladung zum Beitritt einer Organisation ablehnen.
+ AWS SDKs: [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html), [DeclineHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeclineHandshake.html)

------

# Migrieren Sie ein Konto zu einer anderen Organisation mit AWS Organizations
<a name="orgs_account_migration"></a>

Sie können jederzeit AWS-Konto von einer Organisation zu einer anderen migrieren. Die Migration eines Kontos kann beispielsweise bei einer Fusion und Übernahme hilfreich sein, wenn Sie eine oder mehrere Organisationen AWS-Konten aus mehreren Organisationen zu einer Organisation zusammenführen müssen.

Unabhängig von Ihrem Anwendungsfall müssen Sie für die Migration eines Kontos zwischen Organisationen eine Einladung vom Verwaltungskonto der neuen Organisation aus senden und das eingeladene Konto verwenden, um die Einladung zum Beitritt zur neuen Organisation anzunehmen.

**Anmerkung**  
**Geschlossene oder gesperrte Konten können nicht migriert werden.**  
Sie können ein geschlossenes oder gesperrtes Konto nicht migrieren. Um ein Konto zu reaktivieren, wenden Sie sich an [Support](https://aws.amazon.com/contact-us/).  
**Mindestalter von vier Tagen**  
Um ein Konto zu migrieren, das Sie in einer Organisation erstellt haben, müssen Sie mindestens vier Tage nach der Erstellung des Kontos warten. Eingeladene Konten unterliegen dieser Wartezeit nicht.  
**Daten zwischen Konten replizieren**  
Die folgenden AWS präskriptiven Leitlinien enthalten Informationen zu Strategien für die [Replikation von Daten zwischen AWS-Konten: Ressourcenreplikation](https://docs.aws.amazon.com/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/resource-migration.html) oder Migration zwischen. AWS-Konten

## Was müssen Sie vor der Migration eines Kontos tun
<a name="migrate-account-prerequistes"></a>

Stellen Sie vor der Migration AWS-Konto von einer Organisation zu einer anderen sicher, dass Sie die folgenden Schritte abgeschlossen haben.

### Schritt 1: Stellen Sie sicher, dass Sie über die erforderlichen IAM-Berechtigungen verfügen, um ein Konto zu migrieren
<a name="migrate-account-step-1"></a>

#### Schritt 1
<a name="collapsible-migrate-account-step-1"></a>

Stellen Sie sicher, dass Sie die erforderlichen Berechtigungen für die Migration eines Kontos zu den jeweiligen Organisationen erteilt haben.

**Um eine Organisation zu verlassen, benötigen Sie die folgenden Berechtigungen:**
+ `organizations:DescribeOrganization` (nur Konsole)
+ `organizations:LeaveOrganization`

Weitere Informationen finden Sie unter [Verlassen einer Organisation von Ihrem Mitgliedskonto](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_leave-as-member.html) aus.

** AWS-Konto Um eine Person einzuladen, einer Organisation beizutreten, benötigen Sie die folgenden Berechtigungen:**
+ `organizations:DescribeOrganization` (nur Konsole)
+ `organizations:InviteAccountToOrganization`

Weitere Informationen finden Sie unter [Einen AWS-Konto zum Beitritt zu Ihrer Organisation einladen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).

**Um ein Konto zu migrieren, dürfen Sie keine IAM-Richtlinien oder Dienststeuerungsrichtlinien haben, die die Migration verhindern**

Wenn Sie das Verwaltungskonto oder ein delegierter Administrator sind, können Sie den Zugriff auf AWS Ressourcen kontrollieren, indem Sie Berechtigungsrichtlinien an IAM-Identitäten (Benutzer, Gruppen und Rollen) innerhalb einer Organisation anhängen. [Weitere Informationen finden Sie unter IAM-Richtlinien für. AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_iam-policies.html) 

Bevor Sie ein Konto migrieren:
+ Vergewissern Sie sich, dass es keine IAM-Richtlinien oder Dienststeuerungsrichtlinien (SCPs) gibt, die Sie daran hindern, das Konto zu migrieren.
+ Identifizieren Sie bestehende IAM-Richtlinien und Dienststeuerungsrichtlinien (SCPs), die Sie in der Organisation replizieren müssen, in die Sie das Konto migrieren.
+ Identifizieren Sie die vorhandenen IAM-Richtlinien, die Ihre Organisations-ID angeben. Beispiel, [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid).

Weitere Informationen finden Sie unter [Verwaltung von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch* und unter [Richtlinien zur Servicesteuerung](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (). SCPs

### Schritt 2: Stellen Sie sicher, dass Sie die IAM-Berechtigungen entfernt haben, die den Zugriff auf das alte Verwaltungskonto ermöglichen
<a name="migrate-account-step-2"></a>

#### Schritt 2
<a name="collapsible-migrate-account-step-2"></a>

Stellen Sie sicher, dass Sie die IAM-Berechtigungen entfernt haben, die den Zugriff auf das alte Verwaltungskonto ermöglichen, z. B. `OrganizationAccountAccessRole`

Wenn Sie ein Mitgliedskonto aus einer Organisation entfernen, werden alle IAM-Rollen, die erstellt wurden, um den Zugriff durch das Verwaltungskonto der Organisation zu ermöglichen, nicht automatisch gelöscht. Wenn Sie diesen Zugriff vom Verwaltungskonto der früheren Organisation beenden möchten, müssen Sie die IAM-Rolle manuell löschen.

Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

### Schritt 3: Erstellen Sie eine Sicherungskopie aller Berichte
<a name="migrate-account-step-3"></a>

#### Schritt 3
<a name="collapsible-migrate-account-step-3"></a>

Stellen Sie sicher, dass Sie Berichte aus dem Verwaltungskonto exportieren oder sichern, insbesondere Abrechnungsberichte. Berichte und der Verlauf auf Organisationsebene werden nicht gespeichert, wenn Sie ein Konto migrieren. Es wird empfohlen, einen vollständigen Export der gesamten Abrechnungshistorie durchzuführen. Sie können weiterhin auf Berichte für Mitgliedskonten wie den AWS CloudTrail Ereignisverlauf und den Kontoabrechnungsverlauf zugreifen.

**Wichtig**  
Alle Berichte und Verlaufsdaten auf Organisationsebene, wie z. B. die Abrechnungsinformationen der Organisation im Verwaltungskonto, werden gelöscht, nachdem ein Konto aus einer Organisation entfernt wurde.

Weitere Informationen finden Sie unter [Kosten- und Nutzungsberichte](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html), [Cost Explorer Explorer-Berichte](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html), [Savings Plans Plans-Berichte](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr) und [Auslastung und Abdeckung von Reserved Instance (RI)](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer).

### Schritt 4: Suchen Sie nach Unternehmensabhängigkeiten
<a name="migrate-account-step-4"></a>

#### Schritt 4
<a name="collapsible-migrate-account-step-4"></a>

Stellen Sie sicher, dass das migrierende Konto keine organisationsbezogenen Abhängigkeiten aufweist.

**Zu überprüfende Abhängigkeiten:**
+ Wenn es sich bei dem Konto um einen delegierten Administrator handelt, müssen Sie die delegierten Administratorrechte abmelden, bevor Sie das Konto migrieren. Weitere Informationen finden Sie unter [Dienste](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html), die Sie mit verwenden können. AWS Organizations
+ Wenn es sich bei dem Konto um das Verwaltungskonto handelt, müssen Sie vor der Migration alle Mitgliedskonten aus der Organisation entfernen und die Organisation löschen. Nachdem Sie die Organisation gelöscht haben, funktioniert Ihr Verwaltungskonto als eigenständiges Konto. Nach der Migration wird das Verwaltungskonto ein Mitgliedskonto der neuen Organisation sein. Weitere Informationen finden Sie unter [Organisation löschen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html).
+ Wenn irgendwelche IAM-Berechtigungen vom Konto abhängen, müssen Sie die Berechtigungen für die alte Organisation anpassen, nachdem Sie das Konto auf die neue Organisation migriert haben, damit die alte Organisation wie zuvor funktioniert. Weitere Informationen finden Sie unter [Zugriffsberechtigungen für Ihre Organisation verwalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html).
+ Wenn Sie Tags für Konten oder Organisationseinheiten (OU) verwenden, müssen Sie die Tags in der neuen Organisation neu erstellen. 

### (Optional) Schritt 5: Lesen Sie sich die Anleitungen durch, falls Sie AWS Control Tower
<a name="migrate-account-step-5"></a>

#### (Optional) Schritt 5
<a name="collapsible-migrate-account-step-5"></a>

Wenn Sie ein Konto zu oder von einer Organisation migrieren, die von verwaltet wird AWS Control Tower, lesen Sie sich die folgenden AWS Richtlinien durch: [Migrieren Sie ein AWS Mitgliedskonto](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html) von zu. AWS Organizations AWS Control Tower

## Was müssen Sie tun, um ein Konto zu migrieren
<a name="migrate-account-process"></a>

Der Migrationsprozess erfordert, dass die neue Organisation eine Einladung an das migrierende Konto sendet und dass das migrierende Konto die Einladung der neuen Organisation akzeptiert, der neuen Organisation beizutreten.

**Um ein Konto zu migrieren**

1. Senden Sie eine Einladung vom Verwaltungskonto der neuen Organisation an das Migrationskonto. Informationen zum Einladen von Konten finden Sie unter [Einladen eines Benutzers AWS-Konto zum Beitritt zu Ihrer Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).

1. Nehmen Sie die Einladung an, der neuen Organisation beizutreten. Weitere Informationen finden Sie unter [Eine Einladung von einer Organisation annehmen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite). Konten, die von einer anderen Organisation zu einer anderen migriert werden, werden automatisch zum Stammverzeichnis der neuen Organisation hinzugefügt. Bevor Sie ein Konto in eine Organisationseinheit (OU) in der neuen Organisation verschieben, sollten Sie überprüfen, ob das migrierende Konto über die entsprechenden Organisationsrichtlinien und OU-Berechtigungen verfügt.

1. Wenn Sie das Verwaltungskonto migrieren möchten, müssen Sie [alle Mitgliedskonten aus der Organisation entfernen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) und die Organisation [löschen, bevor Sie das Verwaltungskonto zur neuen Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html) migrieren. Nachdem Sie die alte Organisation gelöscht haben, funktioniert Ihr Verwaltungskonto als eigenständiges Konto und kann die Einladung der neuen Organisation annehmen, der neuen Organisation beizutreten. Wenn Sie die Einladung annehmen, ist das Verwaltungskonto ein Mitgliedskonto der neuen Organisation.

## Was müssen Sie nach der Migration eines Kontos tun
<a name="migrate-account-post"></a>

Stellen Sie nach der Migration Ihres Kontos von einer Organisation zu einer anderen sicher, dass Sie die folgenden Schritte abgeschlossen haben.

**Überprüfung nach der Migration**

1. Evaluieren Sie alle [Konfigurationen des Abrechnungstools](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-laying-the-foundation/reporting-cost-optimization-tools.html) für das migrierte Konto, z. B. Kostenkategorien, Budgets und Abrechnungsalarme.

1. Überprüfen und aktualisieren Sie die folgenden monetären Informationen für alle Konten, die Sie von einer Organisation zu einer anderen migriert haben:

   1. [Aktualisieren Sie bei Bedarf die Steuereinstellungen für](https://repost.aws/knowledge-center/update-tax-registration-number) das Konto.

   1. Stellen Sie sicher, dass der [Support Plan](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidatedbilling-support.html) für die Kontomigration mit dem Zahlerkonto der neuen Organisation übereinstimmt.

   1. Prüfen Sie alle möglichen [Steuerbefreiungen](https://aws.amazon.com/tax-help/united-states/), die Sie möglicherweise für das Konto anwenden möchten, das Sie migriert haben.

1. Überprüfen und bestätigen Sie die vorhandenen IAM-Richtlinien und Dienststeuerungsrichtlinien (SCPs) für das migrierte Konto. Beispielsweise müssen Sie möglicherweise die Organisations-ID für einige IAM-Richtlinien aktualisieren, um die neue Organisation widerzuspiegeln.

1. Aktualisieren Sie die [Kostenzuweisungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) für die neue Organisation, in die Sie das Konto migriert haben. Sie müssen alle vorherigen Kostenzuordnungs-Tags aktualisieren, die für das Konto gesammelt wurden, das Sie migriert haben.

1. Alle [Reserved Instances](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-behavior.html) und [Sparpläne](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html) werden zusammen mit dem Konto migriert. Diese werden in der alten Organisation nicht beibehalten. Wenden Sie sich an, Support falls diese auf die alte Organisation übertragen werden müssen.

# Details eines Kontos anzeigen in AWS Organizations
<a name="orgs_view_account"></a>

Wenn Sie sich in der [AWS Organizations Konsole](https://console.aws.amazon.com/organizations/v2) beim Verwaltungskonto der Organisation anmelden, können Sie Details zu Ihren Mitgliedskonten einsehen.

**Mindestberechtigungen**  
Um die Details eines anzeigen zu können AWS-Konto, benötigen Sie die folgenden Berechtigungen:  
`organizations:DescribeAccount`
`organizations:DescribeOrganization` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden
`organizations:ListAccounts` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden

------
#### [ AWS-Managementkonsole ]<a name="view_details_account_v2"></a>

**Um die Details eines anzuzeigen AWS-Konto**

1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

1. Navigieren Sie zu **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** und wählen Sie den Namen des Kontos (nicht das Optionsfeld) aus, das Sie ansehen möchten. Wenn das gewünschte Konto einer Organisationseinheit untergeordnet ist, müssen Sie möglicherweise das Dreiecksymbol ![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/console-expand.png)neben einer Organisationseinheit auswählen, um sie zu erweitern und ihre untergeordneten Konten anzuzeigen. Wiederholen Sie dies, bis Sie das Konto gefunden haben.

   In den **Kontodetails** werden die Informationen zum Konto angezeigt.

------
#### [ AWS CLI & AWS SDKs ]

**Um Details eines anzuzeigen AWS-Konto**  
Sie können einen der folgenden Befehle verwenden, um Details eines Kontos anzuzeigen:
+ AWS CLI:
  +  [list-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html) – listet die Details von *allen* Konten in der Organisation auf
  +  [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html) – listet nur die Details des angegebenen Kontos auf

  Beide Befehle geben die gleichen Details für jedes Konto zurück, das in der Antwort enthalten ist.

  Das folgende Beispiel zeigt, wie die Details eines angegebenen Kontos abgerufen werden.

  ```
  $ aws organizations describe-account --account-id 123456789012
  
  {
      "Account": {
          "Id": "123456789012",
          "Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
          "Email": "admin@example.com",
          "Name": "Example.com Organization's Management Account",
          "Status": "ACTIVE",
          "JoinedMethod": "INVITED",
          "JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
          "Paths": [
              "o-aa111bb222/r-a1b2/123456789012/"
          ]
      }
  }
  ```
+ AWS SDKs:
  + [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
  + [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)

------

# Details für alle Konten exportieren in AWS Organizations
<a name="orgs_manage_accounts_export"></a>

Mit AWS Organizations können Verwaltungskontobenutzer und delegierte Administratoren für eine Organisation eine CSV-Datei mit allen Kontodetails innerhalb einer Organisation exportieren. Dadurch können Organisationsadministratoren Konten einfach einsehen und nach Status filtern:`PENDING_ACTIVATION`,, `ACTIVE` `SUSPENDED``PENDING_CLOSURE`, oder. `CLOSED` Wenn Ihre Organisation über viele Konten verfügt, bietet die Download-Option einer .csv-Datei eine einfache Möglichkeit, Kontodetails in einer Tabelle anzuzeigen und zu sortieren. Wir empfehlen, neue CSV-Exporte zu generieren, anstatt zuvor gespeicherte Versionen zu verwenden, um aktuelle Kontoinformationen zu verwalten.

**Wichtig**  
Wir haben den `Status` Kontoparameter im `Accounts` Objekt am 9. September 2025 aus der AWS Organizations Konsole entfernt. In der Kontoexportdatei wird jetzt der `State` Parameter anstelle des `Status` Parameters angezeigt. Alle Downstream-Prozesse, die die exportierte Datei verwenden, `Organization_accounts_information.csv` sollten aktualisiert werden, sodass sie stattdessen den `State` Parameter verwenden`Status`.

**Anmerkung**  
Nur Hauptbenutzer im Verwaltungskonto können die Kontoliste herunterladen.

## Exportieren Sie eine Liste aller Daten AWS-Konten in Ihrer Organisation
<a name="orgs_manage_accounts_export_csv"></a>

Wenn Sie sich beim Verwaltungskonto der Organisation anmelden, können Sie eine Liste aller Konten, die zu Ihrer Organisation gehören, als .csv-Datei erhalten. Die Liste enthält einzelne Kontodetails, gibt jedoch nicht an, zu welcher Organisationseinheit (OU) das Konto gehört.

Die CSV-Datei enthält die folgenden Informationen für jedes Konto:
+ **Konto-ID** – Numerische Konto-ID Zum Beispiel: 123456789012. 
+ **ARN** – Amazon-Ressourcenname für das Konto. Beispiel: `arn:aws:organizations::123456789012account/o-o1gb0d1234/123456789012` 
+ **E-Mail** – Die E-Mail-Adresse des Mitgliedskontos. Zum Beispiel: marymajor@example.com 
+ **Name** - Kontoname, der vom Kontoersteller bereitgestellt wird. Zum Beispiel: Stage-Test-Konto 
+ **Status** – Kontostatus innerhalb der Organisation. Werte können folgende sein: `PENDING`, `ACTIVE` oder `SUSPENDED`.
+ **Bundesstaat — Status** des operativen Kontos innerhalb der Organisation. Der Wert kann`PENDING_ACTIVATION`,`ACTIVE`, `SUSPENDED``PENDING_CLOSURE`, oder sein`CLOSED`.
+ **Beitrittsmethode** – Gibt an, wie das Konto erstellt wurde. Der Wert kann `INVITED` oder `CREATED` sein.
+ **Beitrittszeitstempel** – Datum und Uhrzeit, zu der das Konto der Organisation beigetreten ist.

**Mindestberechtigungen**  
Um eine .csv-Datei aller Mitgliedskonten in Ihrer Organisation zu exportieren, müssen Sie über die folgenden Berechtigungen verfügen:  
`organizations:DescribeOrganization` 
`organizations:ListAccounts` 

------
#### [ AWS-Managementkonsole ]

**Um eine CSV-Datei für alle Mitglieder Ihrer Organisation AWS-Konten zu exportieren**

1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

1. Klicken Sie auf **Aktionen** und wählen Sie dann für **AWS-Konto** die Option **Kontoliste exportieren**aus. Das blaue Banner oben auf der Seite zeigt an, dass der Exportvorgang läuft.

1.  Wenn die Datei fertig ist, wird das Banner grün und zeigt an, dass der Download fertig ist. Wählen Sie **CSV herunterladen** aus. Die Datei `Organization_accounts_information.csv` wird auf Ihr Gerät heruntergeladen.

------
#### [ AWS CLI & AWS SDKs ]

Die einzige Möglichkeit, die .csv-Datei mit Kontodetails zu exportieren, besteht darin, die AWS-Managementkonsole zu verwenden. Sie können die .csv-Datei der Kontoliste nicht mithilfe der AWS CLI exportieren. 

------

# Überwachen Sie den Zustand Ihres AWS-Konten
<a name="orgs_manage_accounts_account_state"></a>

AWS Organizations bietet eine Möglichkeit, den Zustand und den Betriebsstatus aller Konten in Ihrem Unternehmen schnell zu beurteilen. Sie können diese Informationen in der Spalte **Status** in der AWS Organizations Konsole oder programmgesteuert anzeigen. AWS Organizations APIs Auf diese Weise können Sie nachverfolgen, wo sich die einzelnen AWS-Konto Produkte in ihrem Lebenszyklus befinden, von der Erstellung bis zum Abschluss.

Die kontinuierliche Überwachung des Kontostatus bietet die folgenden Vorteile:
+ Identifizieren Sie schnell Konten, die Aufmerksamkeit oder Maßnahmen erfordern
+ Optimieren Sie Ihre Kontoverwaltungsprozesse
+ Treffen Sie fundierte Entscheidungen über die Ressourcenzuweisung und Zugriffskontrolle
+ Sorgen Sie für eine bessere allgemeine Sicherheit und Einhaltung von Vorschriften in Ihrem gesamten Unternehmen

In der folgenden Tabelle werden die fünf möglichen Kontostatus und ihre Auswirkungen auf Ihr Konto beschrieben AWS-Konten:


**Kontostatus**  

| Status | Description | 
| --- | --- | 
| AUSSTEHENDE AKTIVIERUNG |  In diesem Status kann das Konto nicht verwendet werden, da der Anmeldevorgang für das Konto initiiert, aber nie abgeschlossen wurde. Der Kontoinhaber muss die verbleibenden Anmeldeschritte abschließen, z. B. die telefonische Bestätigung oder die Zahlungsinformationen angeben. Nach Abschluss dieser Schritte wechselt das Konto in den Status AKTIV.   | 
| ACTIVE |  Dieser Status bedeutet, dass das Konto voll funktionsfähig und verfügbar ist. Benutzer können gemäß den Berechtigungen und Unternehmensrichtlinien des Kontos normal auf AWS Dienste und Ressourcen zugreifen. In diesem Status können reguläre AWS Aktivitäten wie das Starten von Ressourcen, das Verwalten von Diensten und das Anfallen von Gebühren anfallen.  | 
| SUSPENDED (AUSGESETZT) |  In diesem Status ist das Konto unbrauchbar, da AWS der Zugriff eingeschränkt ist. Der Kontoinhaber kann weiterhin die Rechnungsinformationen einsehen und Kontakt aufnehmen Support, der erklären kann, warum das Konto gesperrt wurde.  | 
| AUSSTEHENDE SCHLIESSUNG |  Dieser temporäre Status weist auf eine aktive Anfrage zur Schließung des Kontos hin, der Schließungsprozess ist jedoch noch nicht abgeschlossen. Das Konto ist weiterhin funktionsfähig und kann weiterhin für den Zugriff auf AWS Dienste verwendet werden, während die Schließungsanfrage bearbeitet wird. Nach AWS der Bearbeitung der Schließungsanfrage wechselt das Konto in den Status GESCHLOSSEN.  | 
| CLOSED |  Dieser Status gibt an, dass das Konto auf Anfrage des Kontoinhabers oder von geschlossen wurde, AWS und wird nach Einleitung der Schließung 90 Tage lang neben dem Kontonamen in der AWS Organizations Konsole angezeigt. Während dieses Zeitraums können Sie nicht auf AWS Dienste zugreifen, aber Sie können Kontakt aufnehmen, Support um das Konto wiederherzustellen oder wichtige Daten wiederherzustellen. Nach Ablauf der Frist von 90 Tagen nach der Schließung ist das Konto dauerhaft geschlossen und wird nicht mehr in der Konsole angezeigt. AWS Organizations   | 

## Den Status eines anzeigen AWS-Konto
<a name="view_account_state"></a>

Sie können die Kontostatusinformationen entweder in der AWS Organizations Konsole oder programmgesteuert mit `DescribeAccount``ListAccounts`, und anzeigen. `ListAccountsForParent` APIs

**Wichtig**  
Der `Status` Kontoparameter in AWS Organizations wird am 9. September 2026 eingestellt. Obwohl derzeit sowohl der Konto `State` - als auch der `Status` Kontoparameter in AWS Organizations APIs (`DescribeAccount`,`ListAccounts`,`ListAccountsForParent`) verfügbar sind, empfehlen wir Ihnen, Ihre Skripts oder anderen Codes so zu aktualisieren, dass der `State` Parameter nicht `Status` vor dem 9. September 2026 verwendet wird.

------
#### [ AWS-Managementkonsole ]<a name="view_account_state_procedure"></a>

**Um den Status eines anzuzeigen AWS-Konto**

1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).

1. Navigieren Sie zu der **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)**Seite und achten Sie auf den Wert in der Spalte **Bundesland** neben dem Mitgliedskonto, das Sie überprüfen möchten. Wenn es sich bei dem Konto, das Sie anzeigen möchten, um ein untergeordnetes Konto einer Organisationseinheit handelt, müssen Sie möglicherweise das Dreieckssymbol ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/console-expand.png) neben einer Organisationseinheit auswählen, um sie zu erweitern und ihre untergeordneten Elemente anzuzeigen. Wiederholen Sie dies, bis Sie das Konto gefunden haben.
**Anmerkung**  
Sie können den Wert des Felds **Bundesstaat** auch auf der Seite mit den **Kontodetails** in der AWS Organizations Konsole anzeigen.

------
#### [ AWS CLI & AWS SDKs ]

**Um den Status eines anzuzeigen AWS-Konto**  
Sie können die folgenden Befehle verwenden, um den Status eines Kontos anzuzeigen:

**Anmerkung**  
Um Kontostatuswerte in API-Antworten anzuzeigen, verwenden Sie AWS CLI Version 2.29.0 oder höher oder eine SDK-Version, die nach dem 9. September 2025 veröffentlicht wurde. Als bewährte Methode empfehlen wir, die neueste Version AWS CLI oder die SDK-Version zu verwenden. Weitere Informationen finden Sie unter [AWS SDKs und Lebenszyklus der Tools-Version](https://docs.aws.amazon.com/sdkref/latest/guide/version-support-matrix.html) im *AWS SDKs Tools-Referenzhandbuch*.
+ AWS CLI:
  +  [list-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html) – listet die Details von *allen* Konten in der Organisation auf
  +  [list-accounts-for-parent](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts-for-parent.html)— listet die Details *aller* Konten in der Organisation auf, die im angegebenen Zielstamm oder in der angegebenen Organisationseinheit (OU) enthalten sind
  +  [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html) – listet nur die Details des angegebenen Kontos auf

  Diese Befehle geben für jedes Konto, das in der Antwort enthalten ist, dieselben Details zurück.

  Das folgende Beispiel zeigt, wie die Details zu einem bestimmten Konto einschließlich seines `State` Werts abgerufen werden.

  ```
  $ aws organizations describe-account --account-id 123456789012
  
  {
      "Account": {
          "Id": "123456789012",
          "Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
          "Email": "admin@example.com",
          "Name": "Example.com Organization's Management Account",
          "State": "CLOSED",
          "Status": "SUSPENDED",
          "JoinedMethod": "INVITED",
          "JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
          "Paths": [
              "o-aa111bb222/r-a1b2/123456789012/"
          ]
      }
  }
  ```
+ AWS SDKs:
  + [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
  + [ListAccountsForParent](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccountsForParent.html)
  + [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)

------

# Aktualisieren Sie die alternativen Kontakte für ein Konto in AWS Organizations
<a name="orgs_manage_accounts_update_contacts"></a>

Sie können alternative Kontakte für Konten innerhalb Ihrer Organisation mithilfe der AWS Organisationskonsole oder programmgesteuert mit der AWS CLI oder aktualisieren. AWS SDKs Informationen zum Aktualisieren alternativer Kontakte finden Sie unter [Aktualisieren der alternativen Kontakte für alle Kontakte AWS-Konto in Ihrer Organisation in](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-alternate.html#manage-acct-update-contact-alternate-orgs.html) der * AWS Kontoverwaltungsreferenz*.

# Aktualisieren Sie die primären Kontaktinformationen für ein Konto in AWS Organizations
<a name="orgs_manage_accounts_update_contacts_primary"></a>

Sie können die primären Kontaktinformationen für Konten innerhalb Ihrer Organisation mithilfe der AWS Organisationskonsole oder programmgesteuert mit der AWS CLI oder aktualisieren. AWS SDKs Informationen zum Aktualisieren der primären Kontaktinformationen finden Sie unter [Aktualisieren der primären Kontaktinformationen für alle Kontaktpersonen AWS-Konto in Ihrer Organisation in](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-primary.html#manage-acct-update-contact-primary-orgs) der Referenz zur * AWS Kontoverwaltung*.

# Update AWS-Regionen für ein Konto in AWS Organizations
<a name="orgs_manage_accounts_update_enabled_regions"></a>

Sie können die Aktualisierung AWS-Regionen für Konten innerhalb Ihrer Organisation über die AWS Organizations Konsole aktivieren. Informationen zur Aktivierung AWS-Regionen von Updates finden Sie unter [Aktivieren oder Deaktivieren AWS-Regionen in Ihrem Konto](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html) in der *Referenz zur AWS Kontoverwaltung*.