Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des comptes dans une organisation avec AWS Organizations
An *Compte AWS*est un conteneur pour vos AWS ressources. Vous créez et gérez vos AWS ressources dans un Compte AWS.
Cette rubrique décrit comment gérer les comptes pour AWS Organizations.
**Topics**
+ [Compte de gestion](orgs-manage_accounts_management.md)
+ [Comptes membres](orgs-manage_accounts_members.md)
+ [Invitations de compte](orgs_manage_accounts_invites.md)
+ [Migrer un compte](orgs_account_migration.md)
+ [Afficher les détails d'un compte](orgs_view_account.md)
+ [Exporter les détails du compte](orgs_manage_accounts_export.md)
+ [Surveiller l'état des comptes](orgs_manage_accounts_account_state.md)
+ [Mettre à jour les contacts alternatifs pour un compte](orgs_manage_accounts_update_contacts.md)
+ [Mettre à jour le contact principal pour un compte](orgs_manage_accounts_update_contacts_primary.md)
+ [Mise à jour Régions AWS pour un compte](orgs_manage_accounts_update_enabled_regions.md)
# Gérer le compte de gestion avec AWS Organizations
*Un compte de gestion* est le compte Compte AWS que vous utilisez pour créer votre organisation.
Le compte de gestion est le propriétaire ultime de l'organisation, ayant le contrôle final sur les politiques de sécurité, d'infrastructure et financières. Ce compte joue le rôle d'un compte payeur et est chargé de payer tous les frais accumulés par les comptes de son organisation.
Cette rubrique décrit comment gérer le compte de gestion avec AWS Organizations.
**Topics**
+ [Bonnes pratiques relatives au compte de gestion](orgs_best-practices_mgmt-acct.md)
+ [Fermeture d'un compte de gestion](orgs_manage_accounts_close_management.md)
# Bonnes pratiques relatives au compte de gestion
Suivez ces recommandations pour vous aider à protéger la sécurité du compte de gestion dans AWS Organizations. Ces recommandations supposent que vous respectez également les [bonnes pratiques qui consistent à avoir recours à l'utilisateur racine uniquement pour les tâches qui le nécessitent vraiment](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).
**Topics**
+ [Limiter l'accès au compte de gestion](#bp_mgmt-acct_limit-access)
+ [Vérifier et suivre les personnes ayant accès au compte de gestion](#bp_mgmt-acct_review-access)
+ [Utiliser le compte de gestion uniquement pour les tâches qui ***nécessitent*** le compte de gestion.](#bp_mgmt-acct_use-mgmt)
+ [Éviter de déployer des charges de travail dans le compte de gestion de l'organisation](#bp_mgmt-acct_avoid-deploying)
+ [Déléguer des responsabilités en dehors du compte de gestion pour la décentralisation](#bp_mgmt-acct_)
## Limiter l'accès au compte de gestion
Le compte de gestion est essentiel à toutes les tâches administratives mentionnées, telles que la gestion des comptes, les politiques, l'intégration avec d'autres AWS services, la facturation consolidée, etc. Par conséquent, vous devez restreindre et limiter l'accès au compte de gestion aux seuls utilisateurs administrateurs qui ont besoin de droits pour apporter des modifications à l'organisation.
## Vérifier et suivre les personnes ayant accès au compte de gestion
Pour vous assurer de conserver l'accès au compte de gestion, vérifiez périodiquement le personnel de votre entreprise qui a accès à l'adresse e-mail, au mot de passe, à la MFA et au numéro de téléphone qui lui sont associés. Alignez la vérification sur les procédures métier existantes. Ajoutez une vérification mensuelle ou trimestrielle de ces informations pour vous assurer que seules les bonnes personnes y ont accès. Assurez-vous que le processus de récupération ou de réinitialisation de l'accès aux informations d'identification de l'utilisateur racine ne dépend pas d'une personne spécifique. Tous les processus devraient tenir compte de l'éventualité que des personnes ne soient pas disponibles.
## Utiliser le compte de gestion uniquement pour les tâches qui ***nécessitent*** le compte de gestion.
Nous vous recommandons d'utiliser le compte de gestion et ses utilisateurs et rôles pour les tâches qui ne peuvent être exécutées que par ce compte. Stockez toutes vos AWS ressources dans un autre Comptes AWS service de l'organisation et gardez-les hors du compte de gestion. L'une des principales raisons de conserver vos ressources dans d'autres comptes est que les politiques de contrôle des services des Organisations (SCPs) ne permettent pas de restreindre les utilisateurs ou les rôles dans le compte de gestion. La séparation de vos ressources de votre compte de gestion vous aide également à comprendre les frais qui vous sont facturés.
Pour obtenir la liste des tâches qui doivent être appelées depuis le compte de gestion, voir [Opérations que vous ne pouvez appeler que depuis le compte de gestion de l'organisation](https://docs.aws.amazon.com/organizations/latest/APIReference/action-reference.html#actions-management-account).
## Éviter de déployer des charges de travail dans le compte de gestion de l'organisation
Les opérations privilégiées peuvent être effectuées dans le compte de gestion d'une organisation et SCPs ne s'appliquent pas au compte de gestion. C'est pourquoi vous devez limiter les ressources et données cloud contenues dans le compte de gestion à celles qui doivent être gérées dans le compte de gestion.
## Déléguer des responsabilités en dehors du compte de gestion pour la décentralisation
Dans la mesure du possible, nous recommandons de déléguer des responsabilités et des services en dehors du compte de gestion. Accordez à vos équipes des autorisations dans leurs propres comptes pour gérer les besoins de l'organisation, sans qu'il soit nécessaire d'accéder au compte de gestion. En outre, vous pouvez enregistrer plusieurs administrateurs délégués pour les services qui prennent en charge cette fonctionnalité, par exemple AWS Service Catalog pour le partage de logiciels au sein de l'organisation ou CloudFormation StackSets pour la création et le déploiement de piles.
Pour plus d'informations, consultez [Architecture de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html), [Organisation de votre AWS environnement à l'aide de plusieurs comptes](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html), et [Services AWS que vous pouvez utiliser avec AWS Organizations](orgs_integrate_services_list.md) pour des suggestions sur l'enregistrement de comptes membres en tant qu'administrateurs délégués pour différents AWS services.
Pour plus d'informations sur la configuration des administrateurs délégués, consultez [Activation d'un compte d'administrateur délégué pour Gestion de compte AWS](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs-delegated-admin.html) (français non garanti) et [Administrateur délégué pour AWS Organizations](orgs_delegate_policies.md).
# Fermeture d'un compte de gestion dans votre organisation
Pour fermer le compte de gestion de votre organisation, vous devez d'abord [fermer](orgs_manage_accounts_close.md) ou [supprimer](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account) tous les comptes membres de l'organisation. La fermeture du compte de gestion supprime également l'instance AWS Organizations et toutes les politiques que vous avez créées au sein de cette organisation après l'expiration de la [période postérieure à la fermeture](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period).
## Fermer le compte de gestion
Pour fermer un compte de gestion, procédez comme suit.
**Important**
Avant de fermer votre compte de gestion, nous vous recommandons vivement de prendre en compte les facteurs à prendre en compte et de comprendre l'impact de la fermeture d'un compte. Pour plus d'informations, consultez [ce que vous devez savoir avant de fermer votre compte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) et [À quoi vous attendre après la fermeture de votre compte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) dans le *Guide de gestion de AWS compte*.
------
#### [ AWS Management Console ]
**Pour fermer un compte de gestion depuis la page Comptes**
**Note**
Vous ne pouvez pas fermer un compte de gestion directement depuis la AWS Organizations console.
1. [Connectez-vous en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) pour le compte de gestion que vous souhaitez fermer. Vous ne pouvez pas fermer un compte lorsque vous êtes connecté en tant qu'utilisateur ou en tant que rôle IAM.
1. Vérifiez qu'il ne reste aucun compte de membre actif dans votre organisation. Pour ce faire, accédez à la [AWS Organizations console](https://console.aws.amazon.com/organizations). Si votre compte de membre est toujours actif, vous devrez suivre les instructions fournies dans [Fermeture d'un compte membre dans une organisation avec AWS Organizations](orgs_manage_accounts_close.md) ou [Supprimer un compte membre d'une organisation](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account) avant de passer à l'étape suivante.
1. **Dans la barre de navigation située dans le coin supérieur droit, choisissez le nom ou le numéro de votre compte, puis sélectionnez Compte.**
1. Sur la [page **Compte**](https://console.aws.amazon.com/billing/home#/account), cliquez sur le bouton **Fermer le compte**. Lisez les instructions de fermeture de compte et assurez-vous de bien les comprendre.
1. Cliquez sur le bouton **Fermer le compte** pour lancer le processus de fermeture du compte.
1. Dans quelques minutes, vous devriez recevoir un e-mail de confirmation indiquant que votre compte a été fermé.
------
#### [ AWS CLI & AWS SDKs ]
Cette tâche n'est pas prise en charge dans AWS CLI ou par une opération d'API provenant de l'un des AWS SDKs. Vous ne pouvez effectuer cette tâche qu'à l'aide du AWS Management Console.
------
# Gérer les comptes des membres avec AWS Organizations
Un *compte de membre* est un compte Compte AWS, autre que le compte de gestion, qui fait partie d'une organisation.
Cette rubrique décrit comment gérer les comptes des membres avec AWS Organizations.
**Topics**
+ [Bonnes pratiques relatives aux comptes membres](orgs_best-practices_member-acct.md)
+ [Création d'un compte membre](orgs_manage_accounts_create.md)
+ [Accès aux comptes membres](orgs_manage_accounts_access.md)
+ [Clôture d'un compte membre](orgs_manage_accounts_close.md)
+ [Protection des comptes membres contre la clôture](orgs_account_close_policy.md)
+ [Suppression d'un compte membre](orgs_manage_accounts_remove.md)
+ [Quitter une organisation à partir d'un compte membre](orgs_manage_accounts_leave-as-member.md)
+ [Mettre à jour le nom du compte d'un membre](orgs_manage_accounts_update_name.md)
+ [Mise à jour de l'adresse e-mail de l'utilisateur root () pour un compte membre](orgs_manage_accounts_update_primary_email.md)
# Bonnes pratiques relatives aux comptes membres
Suivez ces recommandations pour vous aider à protéger la sécurité des comptes membres de votre organisation. Ces recommandations supposent que vous respectez également les [bonnes pratiques qui consistent à avoir recours à l'utilisateur racine uniquement pour les tâches qui le nécessitent vraiment](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).
**Topics**
+ [Définir le nom et les attributs du compte](#bp_member-acct_define-acct)
+ [Mise à l'échelle efficace de l'utilisation de votre environnement et de vos comptes](#bp_member-acct_efficiently-scale)
+ [Activez la gestion de l'accès root pour simplifier la gestion des informations d'identification des utilisateurs root pour les comptes membres](#bp_member-acct_root-access-management)
## Définir le nom et les attributs du compte
Pour vos comptes membres, utilisez une structure de dénomination et une adresse e-mail qui reflètent l'utilisation du compte. Par exemple, `Workloads+fooA+dev@domain.com` pour `WorkloadsFooADev`, `Workloads+fooB+dev@domain.com` pour `WorkloadsFooBDev`. Si vous avez défini des balises personnalisées pour votre organisation, nous vous recommandons d'attribuer ces balises à des comptes qui reflètent l'utilisation du compte, le centre de coûts, l'environnement et le projet. Cela facilite l'identification, l'organisation et la recherche des comptes.
## Mise à l'échelle efficace de l'utilisation de votre environnement et de vos comptes
Au fur et à mesure que vous évoluez, avant de créer de nouveaux comptes, assurez-vous qu'il n'existe pas déjà de comptes répondant à des besoins similaires, afin d'éviter toute duplication inutile. Comptes AWS devrait être fondé sur des exigences d'accès communes. Si vous prévoyez de réutiliser les comptes, comme un compte d'environnement de test (sandbox) ou équivalent, nous vous recommandons de nettoyer les ressources ou charges de travail inutiles des comptes, mais de conserver les comptes pour une utilisation ultérieure.
Avant de fermer des comptes, notez qu'ils sont soumis à des limites de quotas de fermeture. Pour de plus amples informations, veuillez consulter [Quotas et limites de service pour AWS Organizations](orgs_reference_limits.md). Pensez à mettre en œuvre un processus de nettoyage pour réutiliser les comptes au lieu de les fermer et d'en créer de nouveaux lorsque c'est possible. De cette façon, vous éviterez les coûts liés à l'exploitation des ressources et à l'atteinte des limites des [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html).
## Activez la gestion de l'accès root pour simplifier la gestion des informations d'identification des utilisateurs root pour les comptes membres
Nous vous recommandons d'activer la gestion de l'accès root pour vous aider à surveiller et à supprimer les informations d'identification des utilisateurs root pour les comptes des membres. La gestion de l'accès root empêche la récupération des informations d'identification de l'utilisateur root, améliorant ainsi la sécurité des comptes dans votre organisation.
+ Supprimez les informations d'identification de l'utilisateur root pour les comptes membres afin d'empêcher la connexion à l'utilisateur root. Cela empêche également les comptes membres de récupérer l'utilisateur root.
+ Supposons une session privilégiée pour effectuer les tâches suivantes sur les comptes des membres :
+ Supprimez une politique de compartiment mal configurée qui empêche tous les principaux d’accéder à un compartiment Amazon S3.
+ Supprimez une politique Amazon Simple Queue Service qui refuse à tous les principaux l’accès à une file d’attente Amazon SQS.
+ Autoriser un compte membre à récupérer ses informations d'identification d'utilisateur root. La personne ayant accès à l'e-mail de l'utilisateur root à la boîte de réception pour le compte membre peut réinitialiser le mot de passe de l'utilisateur root et se connecter en tant qu'utilisateur root du compte membre.
Une fois la gestion de l'accès root activée, les comptes membres nouvellement créés sont secure-by-default dépourvus d'informations d'identification d'utilisateur root, ce qui élimine le besoin d'une sécurité supplémentaire, telle que l'authentification MFA après le provisionnement.
Pour plus d'informations, voir [Centraliser les informations d'identification des utilisateurs root pour les comptes des membres](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management) dans le *Guide de l'Gestion des identités et des accès AWS utilisateur*.
### Utiliser une politique de contrôle des services (SCP) pour restreindre ce que l'utilisateur racine de vos comptes membres peut faire
Nous vous recommandons de créer une politique de contrôle des services (SCP) dans l'organisation et de l'attacher à la racine de l'organisation de manière à ce qu'elle s'applique à tous les comptes membres. Pour plus d'informations, consultez [Sécurisez les informations d’identification d'utilisateur root de votre compte Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations).
Vous pouvez refuser toutes les actions de l'utilisateur root, à l'exception d'une action spécifique que vous devez effectuer dans votre compte membre. Par exemple, le SCP suivant empêche l'utilisateur root d'un compte membre d'effectuer des appels d'API de AWS service, à l'exception de « Mettre à jour une politique de compartiment S3 mal configurée et refusant l'accès à tous les principaux » (l'une des actions nécessitant des informations d'identification root). Pour plus d'informations, consultez la rubrique [Tâches nécessitant des informations d'identification d'utilisateur root](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) du *Guide de l'utilisateur IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotAction":[
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:DeleteBucketPolicy"
],
"Resource": "*",
"Condition": {
"ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
}
}
]
}
```
------
Dans la majorité des cas, toutes les tâches administratives peuvent être exécutées par un rôle Gestion des identités et des accès AWS (IAM) dans le compte membre disposant des autorisations d'administrateur appropriées. Tout rôle de ce type doit avoir des contrôles appropriés appliqués pour limiter, journaliser et surveiller les activités.
# Création d'un compte membre dans une organisation avec AWS Organizations
Cette rubrique décrit comment créer au Comptes AWS sein de votre organisation dans AWS Organizations. Pour plus d'informations sur la création d'un single Compte AWS, consultez le [Centre de ressources pour la mise en route](https://aws.amazon.com/getting-started/).
## Considérations à prendre en compte avant de créer un compte membre
**Organizations crée automatiquement le rôle IAM `OrganizationAccountAccessRole` pour le compte membre**
Lorsque vous créez un compte membre dans votre organisation, Organizations crée automatiquement le rôle IAM `OrganizationAccountAccessRole` dans le compte membre qui permet aux utilisateurs et aux rôles du compte de gestion d'exercer un contrôle administratif total sur le compte membre. Tous les comptes supplémentaires attachés à la même politique gérée seront automatiquement mis à jour chaque fois que la politique sera mise à jour. Ce rôle est soumis à toutes les [politiques de contrôle des services (SCPs)](orgs_manage_policies_scps.md) qui s'appliquent au compte du membre.
**Organizations crée automatiquement le rôle lié au service `AWSServiceRoleForOrganizations` pour le compte membre**
Lorsque vous créez un compte membre dans votre organisation, Organizations crée automatiquement un rôle lié au service `AWSServiceRoleForOrganizations` dans le compte membre qui permet l'intégration à certains AWS services. Vous devez configurer les autres services pour permettre l'intégration. Pour de plus amples informations, veuillez consulter [AWS Organizations et rôles liés aux services](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
**Les comptes membres ne peuvent être créés qu'à la racine d'une organisation**
Les comptes de membres d'une organisation ne peuvent être créés qu'à la racine d'une organisation. Après avoir créé un compte membre racine d'une organisation, vous pouvez le déplacer entre les deux OUs. Pour de plus amples informations, veuillez consulter [Déplacement de comptes vers une unité organisationnelle (UO) ou entre la racine et OUs avec AWS Organizations](move_account_to_ou.md).
**Les politiques associées à la racine s'appliquent immédiatement**
Si des politiques sont associées à la racine, elles s'appliquent immédiatement à tous les utilisateurs et rôles du compte créé.
Si vous avez [activé le service Trust pour un autre AWS service](orgs_integrate_services_list.md) de votre organisation, ce service fiable peut créer des rôles liés au service ou effectuer des actions sur n'importe quel compte membre de l'organisation, y compris le compte que vous avez créé.
**Les comptes membres doivent s'inscrire pour recevoir des e-mails marketing**
Les comptes de membres que vous créez dans le cadre d'une organisation ne sont pas automatiquement abonnés aux e-mails AWS marketing. Pour inscrire vos comptes à la réception d'e-mails de marketing, consultez [https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences).
**Les comptes membres des organisations gérées par AWS Control Tower doivent être créés dans AWS Control Tower**
Si votre organisation est gérée par AWS Control Tower, nous vous recommandons de créer vos comptes membres à l'aide de la fabrique de AWS Control Tower comptes de la AWS Control Tower console ou à l'aide du AWS Control Tower APIs.
Si vous créez un compte membre dans Organizations alors que l'organisation est gérée par AWS Control Tower, le compte ne sera pas inscrit auprès de ce compte AWS Control Tower. Pour de plus amples informations, consultez [Référence à des ressources en dehors de AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources) dans le *Guide de l'utilisateur de AWS Control Tower *.
## Création d'un compte membre
Une fois connecté au compte de gestion de l'organisation, vous pouvez créer des comptes de membres qui font partie de votre organisation.
Lorsque vous créez un compte à l'aide de la procédure suivante, copie AWS Organizations automatiquement les **coordonnées principales** suivantes du compte de gestion vers le nouveau compte membre :
+ Numéro de téléphone
+ Nom de la société
+ URL du site Web
+ Adresse
Organizations copie également le langage de communication et les informations Marketplace (fournisseur du compte dans certains cas Régions AWS) à partir du compte de gestion.
**Autorisations minimales**
Pour créer un compte membre dans votre organisation, vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
`organizations:CreateAccount`
### AWS Management Console
**Pour créer une Compte AWS annonce intégrée automatiquement à votre organisation**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, choisissez **Ajouter un Compte AWS**.
1. Sur la page **[Ajouter un Compte AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, choisissez **Créer un Compte AWS** (cette option est choisie par défaut).
1. Sur la page **[Créer un Compte AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, pour **Compte AWS Nom** saisissez le nom que vous souhaitez attribuer au compte. Ce nom vous aide à distinguer le compte de tous les autres comptes de l'organisation et il est différent de l'alias IAM ou de l'e-mail du propriétaire.
1. Pour **Adresse e-mail du propriétaire du compte**, saisissez l'adresse e-mail du propriétaire du compte. Cette adresse e-mail ne peut pas déjà être associée à une autre Compte AWS car elle devient le nom d'utilisateur de l'utilisateur root du compte.
1. (Facultatif) Spécifiez le nom à attribuer au rôle IAM qui est automatiquement créé dans le nouveau compte. Ce rôle accorde au compte de gestion de l'organisation l'autorisation d'accéder au compte membre nouvellement créé. Si vous ne spécifiez pas de nom, AWS Organizations donne au rôle le nom par défaut de`OrganizationAccountAccessRole`. Nous vous recommandons d'utiliser le nom par défaut sur tous vos comptes pour assurer la cohérence.
**Important**
N'oubliez pas ce nom de rôle. Vous en aurez besoin ultérieurement pour accorder l'accès au nouveau compte aux utilisateurs et rôles du compte de gestion.
1. (Facultatif) Dans la section **Balises**, ajoutez une ou plusieurs balises au nouveau compte en choisissant **Ajouter une balise**, puis en saisissant une clé et une valeur facultative. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à un compte.
1. Choisissez **Créer Compte AWS**.
+ Si vous obtenez une erreur qui indique que vous avez dépassé votre quota de comptes pour l'organisation, consultez [J'obtiens un message « Quota dépassé » lorsque j'essaie d'ajouter un compte à mon organisation.](orgs_troubleshoot.md#troubleshoot_general_error-adding-account).
+ Si vous obtenez une erreur qui indique que vous ne pouvez pas ajouter un compte parce que votre organisation est toujours en cours d'initialisation, attendez une heure, puis réessayez.
+ Vous pouvez également consulter le AWS CloudTrail journal pour savoir si la création du compte a été réussie. Pour de plus amples informations, veuillez consulter [Connexion et surveillance AWS Organizations](orgs_security_incident-response.md).
+ Si vous obtenez toujours la même erreur, contactez [AWS Support](https://console.aws.amazon.com/support/home#/).
La page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** apparaît ; votre nouveau compte a été ajouté à la liste.
1. Maintenant que le compte existe et qu'il dispose d'un rôle IAM qui accorde l'accès administrateur aux utilisateurs du compte de gestion, vous pouvez y accéder en suivant les étapes indiquées dans [Accès aux comptes des membres d'une organisation avec AWS Organizations](orgs_manage_accounts_access.md).
### AWS CLI & AWS SDKs
Les exemples de code suivants illustrent comment utiliser `CreateAccount`.
------
#### [ .NET ]
**SDK pour .NET**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples).
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new AWS Organizations account.
///
public class CreateAccount
{
///
/// Initializes an Organizations client object and uses it to create
/// the new account with the name specified in accountName.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var accountName = "ExampleAccount";
var email = "someone@example.com";
var request = new CreateAccountRequest
{
AccountName = accountName,
Email = email,
};
var response = await client.CreateAccountAsync(request);
var status = response.CreateAccountStatus;
Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
}
}
```
+ Pour plus de détails sur l'API, voir [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)la section *Référence des AWS SDK pour .NET API*.
------
#### [ CLI ]
**AWS CLI**
**Pour créer un compte membre qui fait automatiquement partie de votre organisation**
L’exemple suivant montre comment créer un compte membre dans une organisation. Le compte membre est configuré avec le nom Compte de production et l’adresse e-mail susan@example.com. Organizations crée automatiquement un rôle IAM en utilisant le nom par défaut, OrganizationAccountAccessRole car le paramètre RoleName n'est pas spécifié. En outre, le paramètre qui permet aux utilisateurs ou aux rôles IAM disposant d'autorisations suffisantes d'accéder aux données de facturation du compte est défini sur la valeur par défaut ALLOW car le IamUserAccessToBilling paramètre n'est pas spécifié. Organizations envoie automatiquement à Susan un e-mail « Bienvenue à AWS » :
```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
La sortie inclut un objet de demande qui indique que l’état est désormais `IN_PROGRESS` :
```
{
"CreateAccountStatus": {
"State": "IN_PROGRESS",
"Id": "car-examplecreateaccountrequestid111"
}
}
```
Vous pouvez ultérieurement demander l'état actuel de la demande en fournissant la valeur de réponse Id à la describe-create-account-status commande comme valeur du create-account-request-id paramètre.
Pour plus d'informations, consultez la section Création d'un AWS compte dans votre organisation dans le *Guide de l'utilisateur AWS des Organizations*.
+ Pour plus de détails sur l'API, reportez-vous [CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)à la section *Référence des AWS CLI commandes*.
------
# Accès aux comptes des membres d'une organisation avec AWS Organizations
Lorsque vous créez un compte dans votre organisation, en plus de l'utilisateur racine, AWS Organizations crée automatiquement un rôle IAM nommé par défaut `OrganizationAccountAccessRole`. Vous pouvez spécifier un autre nom lorsque vous le créez, mais nous vous recommandons de le nommer de manière cohérente sur tous vos comptes. AWS Organizations ne crée aucun autre utilisateur ou rôle.
Pour accéder aux comptes de votre organisation, vous devez utiliser l'une des méthodes suivantes :
**Autorisations minimales**
Pour accéder à un compte Compte AWS depuis n'importe quel autre compte de votre organisation, vous devez disposer des autorisations suivantes :
`sts:AssumeRole` - L'élément `Resource` doit être défini sur un astérisque (\$1) ou sur l'ID du compte associé à l'utilisateur ayant besoin d'accéder au nouveau compte membre.
------
#### [ Using the root user (Not recommended for everyday tasks) ]
Lorsque vous créez un nouveau compte membre dans votre organisation, le compte ne possède aucun identifiant d'utilisateur root par défaut. Les comptes membres ne peuvent pas se connecter à leur utilisateur racine ni récupérer le mot de passe de leur utilisateur racine si la récupération de compte n’est pas activée.
Vous pouvez [centraliser l'accès root pour les comptes membres](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html) afin de supprimer les informations d'identification des utilisateurs root pour les comptes membres existants de votre organisation. La suppression des informations d'identification de l'utilisateur root supprime le mot de passe de l'utilisateur root, les clés d'accès, les certificats de signature et désactive l'authentification multifactorielle (MFA). Ces comptes membres ne disposent pas d’informations d’identification de l’utilisateur racine, ne peuvent pas se connecter en tant qu’utilisateur racine et ne peuvent pas récupérer le mot de passe de l’utilisateur racine. Les nouveaux comptes que vous créez dans Organizations ne disposent par défaut d’aucunes informations d’identification d’utilisateur racine.
Contactez votre administrateur si vous devez effectuer une tâche qui nécessite les informations d'identification de l'utilisateur root sur un compte membre où les informations d'identification de l'utilisateur root ne sont pas présentes.
Pour accéder à votre compte de membre en tant qu'utilisateur root, vous devez suivre le processus de récupération du mot de passe. Pour plus d'informations, consultez la section [J'ai oublié mon mot de passe utilisateur root Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) dans le *guide de AWS connexion de l'utilisateur*.
Si vous devez accéder à un compte membre en utilisant l'utilisateur root, suivez les bonnes pratiques suivantes :
+ N'utilisez pas l'utilisateur root pour accéder à votre compte, sauf pour créer d'autres utilisateurs et rôles avec des autorisations plus limitées. Ensuite, connectez-vous en tant que l'un de ces utilisateurs ou rôles.
+ [Activez l'authentification multifactorielle (MFA) sur l'utilisateur root](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa). Réinitialisez le mot de passe et [attribuez un dispositif MFA à l'utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).
Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu’utilisateur racine, consultez [Tâches nécessitant des informations d’identification d’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*. Pour des recommandations de sécurité supplémentaires pour les utilisateurs [root, consultez les meilleures pratiques pour les utilisateurs root Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) dans le *guide de l'utilisateur IAM*.
------
#### [ Using trusted access for IAM Identity Center ]
Utilisez [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)et activez un accès sécurisé pour IAM Identity Center avec AWS Organizations. Cela permet aux utilisateurs de se connecter au portail d' AWS accès avec leurs informations d'identification professionnelles et d'accéder aux ressources du compte de gestion ou des comptes membres qui leur ont été attribués.
Pour plus d'informations, consultez [Autorisations de plusieurs comptes](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) dans le *Guide de l'utilisateur AWS IAM Identity Center .* Pour plus d'informations sur la configuration de l'accès de confiance à IAM Identity Center, consultez [AWS IAM Identity Center et AWS Organizations](services-that-can-integrate-sso.md).
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
Si vous créez un compte à l'aide des outils fournis dans le cadre de AWS Organizations, vous pouvez accéder au compte en utilisant le nom de rôle préconfiguré `OrganizationAccountAccessRole` qui existe dans tous les nouveaux comptes que vous créez de cette manière. Pour de plus amples informations, veuillez consulter [Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Si vous invitez un compte existant à rejoindre votre organisation et qu'il accepte l'invitation, vous pouvez ensuite décider de créer un rôle IAM qui permet au compte de gestion d'accéder au compte membre invité. Ce rôle est censé être identique au rôle automatiquement ajouté à un compte créé avec AWS Organizations.
Pour créer ce rôle, consultez [Création OrganizationAccountAccessRole d'un compte invité avec AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Après avoir créé le rôle, vous pouvez y accéder grâce à la procédure décrite dans [Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
------
**Topics**
+ [Création d'un rôle d'accès IAM](orgs_manage_accounts_create-cross-account-role.md)
+ [Utilisation du rôle d'accès IAM](orgs_manage_accounts_access-cross-account-role.md)
# Création OrganizationAccountAccessRole d'un compte invité avec AWS Organizations
Par défaut, si vous créez un compte membre dans le cadre de votre organisation, AWS crée automatiquement dans le compte un rôle qui accorde des autorisations d'administrateur aux utilisateurs IAM du compte de gestion qui peuvent assumer le rôle. Par défaut, ce rôle est nommé `OrganizationAccountAccessRole`. Pour de plus amples informations, consultez [Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Cependant, un rôle administrateur n'est ***pas*** automatiquement créé pour les comptes membres que vous *invitez* à rejoindre votre organisation. Vous devez le faire manuellement, comme indiqué dans la procédure suivante. Cela permet essentiellement de dupliquer le rôle automatiquement configuré pour les comptes créés. Nous vous recommandons d'utiliser le même nom (`OrganizationAccountAccessRole`) pour les rôles créés manuellement afin de faciliter la cohérence et la mémorisation.
------
#### [ AWS Management Console ]
**Pour créer un rôle d' AWS Organizations administrateur dans un compte membre**
1. Connectez-vous à la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte membre. L'utilisateur ou le rôle doit être autorisé à créer des rôles et des politiques IAM.
1. Dans la console IAM, accédez à **Rôles**, puis sélectionnez **Créer un rôle**.
1. Choisissez **Compte AWS**, puis sélectionnez **Autre Compte AWS**.
1. Entrez le numéro d'identification à 12 chiffres du compte de gestion auquel vous souhaitez accorder l'accès administrateur. Dans la **section Options**, veuillez noter ce qui suit :
+ Pour ce rôle, dans la mesure où les comptes sont internes à votre société, ne choisissez **pas** **Exiger un ID externe**. Pour plus d'informations sur l'option ID externe, voir [Quand dois-je utiliser un ID externe ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) dans le *guide de l'utilisateur IAM*.
+ Si l'authentification MFA est activée et configurée, vous pouvez éventuellement exiger une authentification à l'aide d'un périphérique MFA. *Pour plus d'informations sur l'authentification multifactorielle, consultez la section [Utilisation de l'authentification multifactorielle (MFA) AWS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) le guide de l'utilisateur IAM.*
1. Choisissez **Suivant**.
1. Sur la page **Ajouter des autorisations**, choisissez la politique AWS gérée nommée, `AdministratorAccess` puis cliquez sur **Suivant**.
1. Sur la page **Nom, révision et création**, spécifiez un nom de rôle et une description facultative. Nous vous recommandons d'utiliser `OrganizationAccountAccessRole`, par souci de cohérence avec le nom par défaut attribué au rôle dans les nouveaux comptes. Pour valider vos modifications, choisissez **Créer un rôle**.
1. Votre nouveau rôle s'affiche sur la liste des rôles disponibles. Choisissez le nom du nouveau rôle pour en afficher les détails et prêtez une attention particulière à l'adresse URL fournie. Communiquez cette URL aux utilisateurs du compte membre qui ont besoin d'accéder au rôle. Notez également le nom **ARN de rôle** car il est nécessaire à l’étape 15.
1. Connectez-vous à la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. Cette fois, connectez-vous en tant qu'utilisateur du compte de gestion, qui dispose des autorisations pour créer des politiques et attribuer des politiques à des utilisateurs ou des groupes.
1. Accédez à **Politiques**, puis choisissez **Créer une politique**.
1. Pour **Service**, choisissez **STS**.
1. Pour **Actions**, commencez par saisir **AssumeRole** dans la zone **Filtrer**, puis sélectionnez la case en regard de celle-ci lorsqu'elle s'affiche.
1. Sous **Ressources**, assurez-vous que **Spécifique** est sélectionné, puis choisissez **Ajouter ARNs**.
1. Entrez le numéro d'identification du compte AWS membre, puis le nom du rôle que vous avez créé précédemment aux étapes 1 à 8. Choisissez **Ajouter ARNs**.
1. Si vous accordez l'autorisation d'assumer le rôle dans plusieurs comptes membres, répétez les étapes 14 et 15 pour chaque compte.
1. Choisissez **Suivant**.
1. Sur la page **Réviser et créer**, entrez le nom de la nouvelle politique, puis choisissez **Créer une politique** pour enregistrer vos modifications.
1. Choisissez **Groupes d'utilisateurs** dans le volet de navigation, puis choisissez le nom du groupe (et non la case à cocher) que vous souhaitez utiliser pour déléguer l'administration du compte membre.
1. Sélectionnez l’onglet **Autorisations**.
1. Choisissez **Ajouter des autorisations**, choisissez **Joindre des politiques**, puis sélectionnez la politique que vous avez créée aux étapes 11 à 18.
------
Les utilisateurs membres du groupe sélectionné peuvent désormais utiliser les informations URLs que vous avez capturées à l'étape 9 pour accéder au rôle de chaque compte membre. Ils peuvent accéder à ces comptes membres de la même façon qu'ils le feraient pour accéder à un compte créé dans l'organisation. Pour de plus amples informations sur l'utilisation du rôle pour administrer un compte membre, consultez [Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
# Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations
Lorsque vous créez un compte membre à l'aide de la AWS Organizations console, un rôle IAM nommé `OrganizationAccountAccessRole` dans le compte est AWS Organizations *automatiquement* créé. Ce rôle possède les autorisations d'administration complètes du compte membre. La portée de l'accès pour ce rôle inclut tous les principaux du compte de gestion, si bien que le rôle est configuré pour accorder cet accès au compte de gestion de l'organisation.
Vous pouvez créer un rôle identique pour un compte membre invité en suivant les étapes indiquées dans [Création OrganizationAccountAccessRole d'un compte invité avec AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Pour utiliser ce rôle afin d'accéder au compte membre, vous devez vous connecter en tant qu'utilisateur du compte de gestion disposant des autorisations pour assumer le rôle. Pour configurer ces autorisations, exécutez la procédure suivante. Nous vous recommandons d'accorder des autorisations à des groupes plutôt qu'à des utilisateurs pour faciliter la maintenance.
------
#### [ AWS Management Console ]
**Pour accorder des autorisations à des membres d'un groupe IAM dans le compte de gestion afin d'accéder au rôle**
1. Connectez-vous à la console IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)tant qu'utilisateur disposant des autorisations d'administrateur dans le compte de gestion. Cette action est obligatoire pour déléguer des autorisations au groupe IAM dont les utilisateurs accéderont au rôle dans le compte membre.
1. Commencez par créer la politique gérée dont vous aurez besoin ultérieurement dans [Step 14](#step-choose-group).
Dans le panneau de navigation, choisissez **Politiques**, puis **Créer une politique**.
1. Dans l'onglet Éditeur visuel, **choisissez Choisir un service**, entrez **STS** dans le champ de recherche pour filtrer la liste, puis choisissez l'option **STS**.
1. Dans la section **Actions**, entrez **assume** dans la zone de recherche pour filtrer la liste, puis choisissez l'**AssumeRole**option.
1. Dans la section **Ressources**, sélectionnez **Spécifique**, puis **Ajouter ARNs**
1. Dans la section **Spécifier les ARN**, choisissez **Autre compte** pour Resource in.
1. Entrez l'identifiant du compte membre que vous venez de créer
1. Pour **Nom du rôle de ressource avec chemin**, entrez le nom du rôle que vous avez créé dans la section précédente (nous vous recommandons de le nommer`OrganizationAccountAccessRole`).
1. Choisissez **Ajouter ARNs** lorsque la boîte de dialogue affiche le bon ARN.
1. (Facultatif) Si vous souhaitez exiger l'authentification multi-facteur (MFA) ou restreindre l'accès au rôle à partir d'une plage d'adresses IP spécifiée, développez la section Conditions de demande et sélectionnez les options à appliquer.
1. Choisissez **Suivant**.
1. Sur la page **Réviser et créer**, entrez le nom de la nouvelle politique. Par exemple : **GrantAccessToOrganizationAccountAccessRole**. Vous pouvez également ajouter une description si vous le souhaitez.
1. Choisissez **Créer une politique** pour enregistrer votre nouvelle politique gérée.
1. Maintenant que vous disposez de la politique, vous pouvez l'attacher à un groupe.
Dans le volet de navigation, choisissez **Groupes d'utilisateurs**, puis choisissez le nom du groupe (et non la case à cocher) dont vous souhaitez que les membres puissent assumer le rôle dans le compte membre. Si nécessaire, vous pouvez créer un nouveau groupe.
1. Choisissez l'onglet **Autorisations**, puis **Ajouter des autorisations**, et enfin **Attacher des politiques**.
1. (Facultatif) Dans la zone **Rechercher**, vous pouvez commencer à taper le nom de votre politique pour filtrer la liste jusqu'à ce que le nom de la politique que vous venez de créer aux étapes [Step 2](#step-create-policy) à [Step 13](#step-end-policy) apparaisse. Vous pouvez également filtrer toutes les politiques AWS gérées en choisissant **Tous les types**, puis en choisissant Gestion par **le client**.
1. Cochez la case à côté de votre politique, puis choisissez **Joindre des politiques**.
------
Les utilisateurs IAM membres du groupe sont désormais autorisés à passer au nouveau rôle dans la AWS Organizations console en suivant la procédure suivante.
------
#### [ AWS Management Console ]
**Pour endosser le rôle pour le compte membre**
Lorsqu'il utilise le rôle, l'utilisateur dispose des autorisations d'administration dans le nouveau compte membre. Indiquez à vos utilisateurs IAM qui sont membres du groupe d'effectuer les opérations suivantes pour endosser le nouveau rôle.
1. **Dans le coin supérieur droit de la AWS Organizations console, choisissez le lien contenant votre nom de connexion actuel, puis choisissez Changer de rôle.**
1. Entrez l'ID de compte et le nom de rôle fournis par votre administrateur.
1. Pour **Nom d'affichage**, entrez le texte que vous souhaitez afficher dans la barre de navigation dans le coin supérieur droit à la place de votre nom d'utilisateur quand vous utilisez ce rôle. Vous pouvez éventuellement choisir une couleur.
1. Choisissez **Changer de rôle**. À présent, toutes les actions que vous exécutez sont effectuées avec les autorisations accordées au rôle que vous avez endossé. Vous ne disposez plus des autorisations associées à votre utilisateur IAM d'origine jusqu'à ce que vous changiez de nouveau de rôle.
1. Lorsque vous avez terminé d'exécuter les actions qui exigent les autorisations de ce rôle, vous pouvez revenir à votre utilisateur IAM normal. Choisissez le nom du rôle dans le coin supérieur droit (quel que soit le nom que vous avez spécifié comme **nom d'affichage**), puis cliquez sur **Retour à**. *UserName*
------
# Fermeture d'un compte membre dans une organisation avec AWS Organizations
Si vous n'avez plus besoin d'un compte membre dans votre organisation, vous pouvez le fermer depuis la [AWS Organizations console](https://console.aws.amazon.com/organizations/v2) en suivant les instructions de cette rubrique. Vous ne pouvez fermer un compte membre à l'aide de la AWS Organizations console que si votre organisation est en mode [Toutes les fonctionnalités](orgs_getting-started_concepts.md#feature-set-all).
Vous pouvez également fermer un compte Compte AWS directement depuis la [page **Compte**](https://console.aws.amazon.com/billing/home#/account) AWS Management Console après vous être connecté en tant qu'utilisateur root. Pour step-by-step obtenir des instructions, consultez la section [Fermer un Compte AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) dans le *Guide de gestion de AWS compte*.
Pour fermer un compte de gestion, voir[Fermeture d'un compte de gestion dans votre organisation](orgs_manage_accounts_close_management.md).
## Fermer le compte d'un membre
Une fois connecté au compte de gestion de l'organisation, vous pouvez clôturer des comptes membres qui font partie de votre organisation. Pour ce faire, exécutez les étapes suivantes.
**Important**
Avant de fermer votre compte de membre, nous vous recommandons vivement de prendre en compte les facteurs à prendre en compte et de comprendre l'impact de la fermeture d'un compte. Pour plus d'informations, consultez [ce que vous devez savoir avant de fermer votre compte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) et [À quoi vous attendre après la fermeture de votre compte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) dans le *Guide de gestion de AWS compte*.
------
#### [ AWS Management Console ]
**Pour fermer un compte membre depuis la AWS Organizations console**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM ou en tant qu'utilisateur root (ce [n'est pas recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, trouvez et choisissez le nom du compte membre que vous souhaitez clôturer. Vous pouvez naviguer dans la hiérarchie des unités organisationnelles (OU), consulter une liste plate de comptes sans la structure des OU.
1. Choisissez **Close** (Clôturer) en regard du nom du compte en haut de la page. Cette option n'est disponible que lorsqu'une AWS organisation est en mode [Toutes les fonctionnalités](orgs_getting-started_concepts.md#feature-set-all).
**Note**
Si votre organisation utilise le mode [de facturation consolidée](orgs_getting-started_concepts.md#feature-set-cb-only), le bouton **Fermer** ne s'affichera pas dans la console. Pour fermer un compte en mode de facturation consolidée, connectez-vous au compte que vous souhaitez fermer en tant qu'utilisateur root. Sur la page **Comptes**, cliquez sur le bouton **Fermer le compte**, entrez votre identifiant de compte, puis cliquez sur le bouton **Fermer le compte**.
1. Lisez les instructions de fermeture de compte et assurez-vous de bien les comprendre.
1. Entrez l'identifiant du compte du membre, puis choisissez **Fermer le compte**.
**Note**
Tout compte de membre que vous fermez affichera une `CLOSED` étiquette à côté de son nom dans la AWS Organizations console jusqu'à 90 jours après la date de fermeture initiale. Après 90 jours, le compte du membre sera définitivement fermé et ne sera plus affiché dans la AWS Organizations console. Veuillez noter que la suppression du compte de l'organisation peut prendre quelques jours après sa fermeture définitive.
**Pour fermer un compte membre depuis la page Comptes**
Vous pouvez éventuellement fermer un compte AWS membre directement depuis la page **Comptes** du AWS Management Console. Pour step-by-step obtenir des conseils, suivez les instructions décrites dans [Fermer](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) et Compte AWS dans le *Guide de gestion de AWS compte*.
------
#### [ AWS CLI & AWS SDKs ]
**Pour fermer un Compte AWS**
Vous pouvez utiliser l'une des commandes suivantes pour clôturer un compte AWS :
+ AWS CLI : [close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)
```
$ aws organizations close-account \
--account-id 123456789012
```
Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS SDKs: [CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)
------
# Protéger les comptes des membres contre la fermeture avec AWS Organizations
Pour protéger les comptes des membres contre toute fermeture accidentelle, créez une politique IAM qui précise quels comptes sont exemptés. Cette politique empêche la fermeture des comptes de membres protégés.
Créez une politique IAM pour refuser la fermeture du compte en utilisant l'une des méthodes suivantes :
+ Répertoriez explicitement les comptes protégés dans l'`Resource`élément de la politique en utilisant leur ARNs.
+ Marquez les comptes individuels et utilisez la clé de condition `aws:ResourceTag` globale pour empêcher la fermeture des comptes étiquetés.
**Note**
Les politiques de contrôle des services (SCPs) n'affectent pas les principes IAM du compte de gestion.
## Exemples de politiques IAM qui empêchent la clôture de comptes membres
Les exemples de code suivants montrent deux méthodes différentes que vous pouvez utiliser pour empêcher les comptes des membres de fermer leur compte.
------
#### [ Prevent member accounts with tags from getting closed ]
Vous pouvez attacher la politique suivante à une identité de votre compte de gestion. Cette politique empêche les principaux du compte de gestion de clôturer tout compte membre labelisé avec la clé de condition globale d'identification `aws:ResourceTag`, le`AccountType`Key et`Critical`valeur de balise.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccountForTaggedAccts",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
}
}
]
}
```
------
#### [ Prevent member accounts listed in this policy from getting closed ]
Vous pouvez attacher la politique suivante à une identité de votre compte de gestion. Cette politique empêche les principaux du compte de gestion de clôturer les comptes membres explicitement spécifiés dans l'élément `Resource`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccount",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": [
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
]
}
]
}
```
------
# Supprimer un compte membre d'une organisation avec AWS Organizations
La suppression d'un compte membre ne ferme pas le compte, mais le retire de l'organisation. Le compte de l'ancien membre devient un compte autonome Compte AWS qui n'est plus géré par AWS Organizations.
Par la suite, le compte n'est plus soumis à aucune politique et est responsable du paiement de ses propres factures. Le compte de gestion de l'organisation n'est plus facturé pour les dépenses accumulées par le compte après son retrait de l'organisation.
## Considérations
**Les rôles d'accès IAM créés par le compte de gestion ne sont pas automatiquement supprimés**
Lorsque vous supprimez un compte membre de l'organisation, tout rôle IAM créé pour permettre l'accès au compte de gestion de l'organisation n'est pas automatiquement supprimé. Si vous souhaitez mettre fin à cet accès à partir du compte de gestion de l'ancienne organisation, vous devez supprimer manuellement le rôle IAM. Pour plus d'informations sur la suppression d'un rôle, consultez [Suppression de rôles ou de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dans le *Guide de l'utilisateur IAM*.
**Vous ne pouvez supprimer un compte de votre organisation que s'il contient les informations nécessaires à son fonctionnement en tant que compte autonome.**
Vous ne pouvez supprimer un compte de votre organisation que si le compte possède les informations requises pour pouvoir fonctionner comme compte autonome. Lorsque vous créez un compte dans une organisation à l'aide de la AWS Organizations console, de l'API ou de AWS CLI commandes, toutes les informations requises pour les comptes autonomes ne sont *pas* automatiquement collectées.
Pour chaque compte que vous souhaitez rendre autonome, vous devez choisir un plan d'assistance, fournir et vérifier les informations de contact requises, et fournir un mode de paiement actuel. AWS utilise le mode de paiement pour facturer toute AWS activité facturable (autre que le niveau AWS gratuit) survenant alors que le compte n'est pas rattaché à une organisation. Pour supprimer un compte qui ne possède pas encore ces informations, suivez les étapes de [Quitter une organisation depuis un compte membre avec AWS Organizations](orgs_manage_accounts_leave-as-member.md).
**Vous devez attendre au moins quatre jours après la création du compte**
Pour supprimer un compte que vous avez créé dans l'organisation, vous devez attendre au moins quatre jours après sa création. Les comptes invités ne sont pas soumis à cette période d'attente.
**Le titulaire du compte qui quitte le compte devient responsable de tous les nouveaux frais encourus.**
Au moment où le compte quitte l'organisation avec succès, le propriétaire du compte Compte AWS devient responsable de tous les nouveaux AWS frais encourus et le mode de paiement du compte est utilisé. Le compte de gestion de l'organisation n'est plus responsable.
**Le compte ne peut pas être un compte d'administrateur délégué pour aucun AWS service activé pour l'organisation.**
Le compte que vous souhaitez supprimer ne doit pas être un compte d'administrateur délégué pour aucun AWS service activé pour votre organisation. Si le compte est un administrateur délégué, vous devez d'abord remplacer le compte administrateur délégué par un autre compte qui reste dans l'organisation. Pour plus d'informations sur la façon de désactiver ou de modifier le compte d'administrateur délégué pour un AWS service, consultez la documentation de ce service.
**Le compte n'a plus accès aux données de coût et d'utilisation**
Quand un compte membre quitte une organisation, ce compte n'a plus accès aux données de coût et d'utilisation du temps où il était membre de l'organisation. Par contre, le compte de gestion de l'organisation peut continuer à accéder aux données. Si le compte rejoint à nouveau l'organisation, il peut à nouveau accéder à ces données.
**Les tags associés au compte sont supprimés**
Lorsqu'un compte membre quitte une organisation, toutes les balises attachées au compte sont supprimées.
**Les principaux associés au compte ne sont plus concernés par les politiques de l'organisation.**
Les mandataires du compte ne sont plus affectés par les [politiques de contrôle des services (SCP)](orgs_manage_policies.md) s'appliquaient dans l'organisation. Cela signifie que les restrictions imposées par SCPs ont disparu et que les utilisateurs et les rôles du compte peuvent disposer de plus d'autorisations qu'auparavant. Les autres types de politiques d'organisation ne peuvent plus être appliqués ni traités.
**Le compte n'est plus couvert par les accords d'organisation**
Si un compte membre est supprimé d'une organisation, ce compte n'est plus couvert par les accords d'organisation. Les administrateurs de compte de gestion doivent communiquer cette suppression aux comptes membres avant de supprimer les comptes membres de l'organisation, afin que les comptes membres puissent mettre en place de nouveaux accords, si nécessaire. La liste des accords d'organisation actifs peut être consultée dans la AWS Artifact console sur la page [Accords d'AWS Artifact organisation](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements).
**L'intégration à d'autres services peut être désactivée**
L'intégration à d'autres services peut être désactivée. Si vous supprimez un compte d'une organisation dont l'intégration à un AWS service est activée, les utilisateurs de ce compte ne peuvent plus utiliser ce service.
## Supprimer un compte membre d'une organisation
Lorsque vous vous connectez au compte de gestion de l'organisation, vous pouvez supprimer de l'organisation les comptes membres dont vous n'avez plus besoin. Pour ce faire, procédez comme suit : Cette procédure s'applique uniquement aux comptes membres. Pour supprimer le compte de gestion, vous devez [supprimer l'organisation](orgs_manage_org_delete.md).
**Autorisations minimales**
Pour supprimer plusieurs comptes membres de votre organisation, vous devez vous connecter en tant qu'utilisateur ou rôle dans le compte de gestion avec les autorisations suivantes :
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
`organizations:RemoveAccountFromOrganization`
Si vous choisissez la connexion en tant qu'utilisateur ou rôle dans un compte membre à l'étape 5, cet utilisateur ou rôle doit détenir les autorisations suivantes :
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations.
`organizations:LeaveOrganization` — Notez que l'administrateur de l'organisation peut appliquer à votre compte une politique qui supprime cette autorisation, vous empêchant ainsi de supprimer votre compte de l'organisation.
Si vous vous connectez en tant qu'utilisateur IAM et que les informations de paiement sont absentes du compte, l'utilisateur doit détenir les autorisations `aws-portal:ModifyBilling` et `aws-portal:ModifyPaymentMethods` (si le compte n'a pas encore migré vers des autorisations détaillées) OU les autorisations `payments:CreatePaymentInstrument` et `payments:UpdatePaymentPreferences` (si le compte a migré vers des autorisations détaillées). En outre, l'accès de l'utilisateur IAM à la facturation doit être activé sur le compte membre. Si vous ne l'avez pas encore activé, consultez [Activation de l'accès à la console de facturation et de gestion des coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) dans le *Guide de l'utilisateur AWS Billing *.
------
#### [ AWS Management Console ]
**Pour supprimer un compte membre de votre organisation**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, cochez la case ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/checkbox-selected.png) en regard du compte membre à supprimer de votre organisation. Vous pouvez parcourir la hiérarchie de l'unité d'organisation ou activer l'option **Afficher Comptes AWS uniquement** pour afficher une liste plate de comptes sans la structure de l'unité d'organisation. Si vous avez beaucoup de comptes, vous devrez peut-être choisir **Charger plus de comptes dans « *nom-UO* »** au bas de la liste pour trouver tous ceux que vous souhaitez supprimer.
Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, trouvez et choisissez le nom du compte membre à supprimer de votre organisation. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver le compte que vous souhaitez.
1. Choisissez **Actions**, puis, sous **Compte AWS**, choisissez **Supprimer de l'organisation**.
1. Dans la section **Supprimer le compte « *nom du compte* » (\$1 *account-id-num*) de** l'organisation ? dans la boîte de dialogue, choisissez **Supprimer le compte**.
1. Si AWS Organizations vous ne supprimez pas un ou plusieurs comptes, c'est généralement parce que vous n'avez pas fourni toutes les informations requises pour que le compte fonctionne en tant que compte autonome. Procédez comme suit :
1. Connectez-vous aux comptes ayant échoué. Nous vous recommandons de vous connecter au compte membre en choisissant **Copier le lien**, puis en collant ce lien dans la barre d'adresse d'une nouvelle fenêtre de navigation privée. Si vous ne voyez pas le **lien Copier**, utilisez [ce lien](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) pour accéder à la AWS page d'**inscription** et effectuer les étapes d'inscription manquantes. Si vous n'utilisez pas de fenêtre privée, vous êtes déconnecté du compte de gestion et ne pourrez pas revenir à cette boîte de dialogue.
1. Le navigateur vous ramène directement au processus de connexion pour réaliser toute étape manquante pour ce compte. Complétez toutes les étapes présentées. Elles peuvent inclure les éléments suivants :
+ Fournir les informations de contact
+ Fournir un moyen de paiement valide
+ Vérifier le numéro de téléphone
+ Sélectionner une option de plan de support
1. Une fois la dernière étape d'inscription terminée, votre navigateur est AWS automatiquement redirigé vers la AWS Organizations console du compte membre. Choisissez **Quitter l'organisation**, puis confirmez votre choix dans la boîte de dialogue de confirmation. Vous êtes redirigé vers la page de démarrage (**Getting Started**) de la console AWS Organizations dans laquelle vous pouvez consulter les invitations en attente pour votre compte à rejoindre d'autres organisations.
1. Supprimez de l'organisation les rôles IAM qui accordent l'accès à votre compte.
**Important**
Si votre compte a été créé dans l'organisation, Organizations a créé automatiquement dans le compte un rôle IAM qui a activé l'accès par le compte de gestion de l'organisation. Si le compte a été invité à rejoindre l'organisation, Organizations n'a pas créé automatiquement un tel rôle, mais vous ou un autre administrateur en avez peut-être créé un pour obtenir les mêmes avantages. Dans un cas comme dans l’autre, lorsque vous supprimez le compte de l'organisation, un tel rôle n'est pas supprimé automatiquement. Si vous souhaitez mettre fin à cet accès à partir du compte de gestion de l'ancienne organisation, vous devez supprimer manuellement ce rôle IAM. Pour plus d'informations sur la suppression d'un rôle, consultez [Suppression de rôles ou de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dans le *Guide de l'utilisateur IAM*.
------
#### [ AWS CLI & AWS SDKs ]
**Pour supprimer un compte membre de votre organisation**
Vous pouvez utiliser l'une des commandes suivantes pour supprimer un compte membre :
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)
```
$ aws organizations remove-account-from-organization \
--account-id 123456789012
```
Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS SDKs: [RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)
Une fois le compte membre supprimé de l'organisation, veillez à supprimer de l'organisation les rôles IAM qui accordent l'accès à votre compte.
**Important**
Si votre compte a été créé dans l'organisation, Organizations a créé automatiquement dans le compte un rôle IAM qui a activé l'accès par le compte de gestion de l'organisation. Si le compte a été invité à rejoindre l'organisation, Organizations n'a pas créé automatiquement un tel rôle, mais vous ou un autre administrateur en avez peut-être créé un pour obtenir les mêmes avantages. Dans un cas comme dans l’autre, lorsque vous supprimez le compte de l'organisation, un tel rôle n'est pas supprimé automatiquement. Si vous souhaitez mettre fin à cet accès à partir du compte de gestion de l'ancienne organisation, vous devez supprimer manuellement ce rôle IAM. Pour plus d'informations sur la suppression d'un rôle, consultez [Suppression de rôles ou de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dans le *Guide de l'utilisateur IAM*.
Les comptes des membres peuvent plutôt être supprimés en utilisant [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html). Pour de plus amples informations, veuillez consulter [Quitter une organisation depuis un compte membre avec AWS Organizations](orgs_manage_accounts_leave-as-member.md).
------
# Quitter une organisation depuis un compte membre avec AWS Organizations
Lorsque vous vous connectez à un compte membre, vous pouvez quitter une organisation. Le compte de gestion ne peut pas quitter l'organisation en utilisant cette technique. Pour supprimer le compte de gestion, vous devez [supprimer l'organisation](orgs_manage_org_delete.md).
## Considérations
**Le statut d'un compte auprès d'une organisation influe sur les données de coût et d'utilisation visibles**
Les comptes conservent l'accès à toutes les anciennes factures qui leur ont été livrées et à toutes les données de facturation qu'ils génèrent, indépendamment des changements d'adhésion des organisations. Cependant, la visibilité des données de Cost Explorer est liée à l'adhésion actuelle des organisations. Le tableau ci-dessous montre comment trois transitions de compte courantes affectent la visibilité des données :
****
| | Disponibilité des factures | Disponibilité des factures (par exemple, page des factures) | Disponibilité de Cost Explorer |
| --- | --- | --- | --- |
| Scénario 1Le compte membre quitte l'organisation A et devient un compte autonome | Le compte conserve l'accès à toutes les factures historiques qui lui sont livrées. | Le compte conserve l'accès à toutes les données historiques des factures qu'il a générées en tant que membre de l'organisation A. | Le compte perd l'accès aux données historiques sur les coûts et l'utilisation qu'il a générées en tant que membre de l'organisation A. |
| Scénario 2Le compte membre quitte l'organisation A et rejoint l'organisation B | Le compte conserve l'accès à toutes les factures historiques qui lui sont livrées. | Le compte conserve l'accès à toutes les données historiques des factures qu'il a générées en tant que membre de l'organisation A. | Le compte perd l'accès aux données historiques sur les coûts et l'utilisation qu'il a générées en tant que membre de l'organisation A. |
| Scénario 3Le compte rejoint une organisation à laquelle il appartenait auparavant | Le compte conserve l'accès à toutes les factures historiques qui lui sont livrées. | Le compte conserve l'accès à toutes les données historiques des factures qu'il a générées (qu'elles soient générées en tant que compte autonome ou en tant que membre d'une autre organisation). | Le compte a de nouveau accès aux données relatives aux coûts et à l'utilisation pendant toute la période pendant laquelle il était membre de l'organisation, mais il perd l'accès à tous les coûts et utilisations historiques générés en dehors de son organisation actuelle. |
**Le compte n'est plus couvert par les accords d'organisation acceptés en son nom**
Si vous quittez une organisation, vous ne serez plus couvert par les accords d'organisation qui ont été acceptés en votre nom par le compte de gestion de l'organisation. Vous pouvez consulter la liste de ces accords d'organisation dans la AWS Artifact console sur la page [Accords d'AWS Artifact organisation](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements). Avant de quitter l'organisation, vous devez déterminer (avec l'aide de vos équipes juridiques, de confidentialité ou de conformité le cas échéant) s'il est nécessaire pour vous de disposer de nouveaux accords.
**Les limites de quota du compte peuvent changer et avoir un impact**
Le fait de quitter une organisation en tant que compte membre peut affecter les limites de quotas de service disponibles pour ce compte. Si vous avez des charges de travail automatisées qui nécessitent des limites plus élevées, veuillez revoir vos quotas dans la console des quotas de service après avoir quitté l'organisation afin de garantir une expérience ininterrompue. Veuillez contacter le [AWS Support centre](https://console.aws.amazon.com/support/home#/) après avoir quitté l'organisation pour obtenir de l'aide.
## Quitter une organisation depuis un compte membre
Pour quitter une organisation, suivez la procédure ci-dessous.
**Autorisations minimales**
Pour quitter une organisation , vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations.
`organizations:LeaveOrganization` — Notez que l'administrateur de l'organisation peut appliquer à votre compte une politique qui supprime cette autorisation, vous empêchant ainsi de supprimer votre compte de l'organisation.
Si vous vous connectez en tant qu'utilisateur IAM et que les informations de paiement sont absentes du compte, l'utilisateur doit détenir les autorisations `aws-portal:ModifyBilling` et `aws-portal:ModifyPaymentMethods` (si le compte n'a pas encore migré vers des autorisations détaillées) OU les autorisations `payments:CreatePaymentInstrument` et `payments:UpdatePaymentPreferences` (si le compte a migré vers des autorisations détaillées). En outre, l'accès de l'utilisateur IAM à la facturation doit être activé sur le compte membre. Si vous ne l'avez pas encore activé, consultez [Activation de l'accès à la console de facturation et de gestion des coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) dans le *Guide de l'utilisateur AWS Billing *.
------
#### [ AWS Management Console ]
**Pour quitter une organisation depuis votre compte membre**
1. Connectez-vous à la AWS Organizations console sur la [AWS Organizations console](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans un compte membre.
Par défaut, vous n'avez pas accès au mot de passe de l'utilisateur root dans un compte membre créé à l'aide de AWS Organizations. Si nécessaire, récupérez le mot de passe de l'utilisateur root en suivant les étapes décrites dans **la section Utilisation de l'utilisateur root (déconseillé pour les tâches quotidiennes)** dans[Accès aux comptes des membres d'une organisation avec AWS Organizations](orgs_manage_accounts_access.md).
1. Sur la page **[Tableau de bord Organizations](https://console.aws.amazon.com/organizations/v2/home/dashboard)**, choisissez **Quitter l'organisation**.
1. Dans la boîte de dialogue **Confirmer le départ de l'organisation ?**, choisissez **Quitter l'organisation**. Lorsque vous y êtes invité, confirmez votre choix de supprimer le compte. Après avoir confirmé, vous êtes redirigé vers la page **Getting Started** de la AWS Organizations console, où vous pouvez consulter toutes les invitations en attente pour votre compte afin de rejoindre d'autres organisations.
Si le message **Vous ne pouvez pas encore quitter l'organisation** s'affiche, cela signifie que votre compte ne dispose pas de toutes les informations requises pour fonctionner en tant que compte autonome. Dans ce cas, passez à l'étape suivante.
1. Si la boîte de dialogue **Confirmer le départ de l'organisation ?** affiche le message **Vous ne pouvez pas encore quitter l'organisation**, cliquez sur le lien **Compléter les étapes de création de compte**.
Si vous ne voyez pas le lien **Terminer les étapes d'inscription au compte**, utilisez [ce lien](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) **pour accéder à la AWS page S'inscrire** et terminer les étapes d'inscription manquantes.
1. Sur la page **Inscription à AWS**, entrez toutes les informations requises pour faire du compte un compte autonome. Ces informations incluent notamment :
+ Le nom et l'adresse du contact
+ Un mode de paiement valide
+ Un numéro de téléphone vérifié
+ Les options du plan de support
1. Lorsque la boîte de dialogue indique que le processus d'inscription est terminé, choisissez **Quitter l'organisation**.
Une boîte de dialogue de confirmation s'affiche. Confirmez votre choix de supprimer le compte. Vous êtes redirigé vers la page **Getting Started** de la AWS Organizations console, où vous pouvez consulter toutes les invitations en attente pour que votre compte rejoigne d'autres organisations.
1. Supprimez de l'organisation les rôles IAM qui accordent l'accès à votre compte.
**Important**
Si votre compte a été créé dans l'organisation, Organizations a créé automatiquement dans le compte un rôle IAM qui a activé l'accès par le compte de gestion de l'organisation. Si le compte a été invité à rejoindre l'organisation, Organizations n'a pas créé automatiquement un tel rôle, mais vous ou un autre administrateur en avez peut-être créé un pour obtenir les mêmes avantages. Dans un cas comme dans l’autre, lorsque vous supprimez le compte de l'organisation, un tel rôle n'est pas supprimé automatiquement. Si vous souhaitez mettre fin à cet accès à partir du compte de gestion de l'ancienne organisation, vous devez supprimer manuellement ce rôle IAM. Pour plus d'informations sur la suppression d'un rôle, consultez [Suppression de rôles ou de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dans le *Guide de l'utilisateur IAM*.
------
#### [ AWS CLI & AWS SDKs ]
**Pour quitter une organisation en tant que compte membre**
Vous pouvez utiliser l'une des commandes suivantes pour quitter une organisation :
+ AWS CLI : [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)
Dans l'exemple suivant, le compte dont les informations d'identification sont utilisées pour exécuter la commande quitte l'organisation.
```
$ aws organizations leave-organization
```
Cette commande ne produit aucune sortie lorsqu’elle réussit.
+ AWS SDKs: [LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)
Une fois le compte membre retiré de l'organisation, veillez à supprimer de l'organisation les rôles IAM qui accordent l'accès à votre compte.
**Important**
Si votre compte a été créé dans l'organisation, Organizations a créé automatiquement dans le compte un rôle IAM qui a activé l'accès par le compte de gestion de l'organisation. Si le compte a été invité à rejoindre l'organisation, Organizations n'a pas créé automatiquement un tel rôle, mais vous ou un autre administrateur en avez peut-être créé un pour obtenir les mêmes avantages. Dans un cas comme dans l’autre, lorsque vous supprimez le compte de l'organisation, un tel rôle n'est pas supprimé automatiquement. Si vous souhaitez mettre fin à cet accès à partir du compte de gestion de l'ancienne organisation, vous devez supprimer manuellement ce rôle IAM. Pour plus d'informations sur la suppression d'un rôle, consultez [Suppression de rôles ou de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dans le *Guide de l'utilisateur IAM*.
Les comptes membres peuvent également être supprimés par un utilisateur du compte de gestion à la [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)place. Pour de plus amples informations, veuillez consulter [Supprimer un compte membre d'une organisation](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account).
------
# Mettre à jour le nom du compte d'un membre avec AWS Organizations
Lorsque vous vous connectez au compte de gestion de votre organisation, vous pouvez mettre à jour le nom du compte d'un membre. Pour savoir comment mettre à jour le nom du compte d'un membre, suivez les étapes décrites dans la section [Mettre à jour le nom du compte de n'importe quel Compte AWS membre de votre organisation](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs) dans le *Guide de Gestion de compte AWS référence*.
# Mise à jour de l'adresse e-mail de l'utilisateur root () pour un compte membre avec AWS Organizations
Pour une sécurité et une résilience administrative accrues, les principaux IAM du compte de gestion (qui disposent des autorisations IAM nécessaires) peuvent mettre à jour de manière centralisée l'adresse e-mail d'un utilisateur root (adresse ) (également appelée adresse e-mail principale) pour n'importe lequel de leurs comptes membres sans avoir à se connecter à chaque compte individuellement. Cela permet aux administrateurs du compte de gestion (ou d'un compte administrateur délégué) de mieux contrôler leurs comptes de membres. Cela garantit également que les adresses e-mail des utilisateurs root, les adresses de tous les comptes membres de votre choix AWS Organizations peuvent être tenues à jour, même si vous avez perdu l'accès à l'adresse e-mail d'origine de l'utilisateur root, à l'adresse e-mail ou aux informations d'identification administratives.
Lorsque l'adresse e-mail de l'utilisateur root (adresse ) est modifiée de manière centralisée par un administrateur de compte de gestion, le mot de passe et la configuration MFA restent les mêmes qu'avant le changement. Notez que le MFA peut être contourné par un utilisateur qui contrôle l'adresse e-mail de l'utilisateur root d'un compte, l'adresse e-mail du contact principal.
Pour mettre à jour l'adresse e-mail de l'utilisateur root () d'un compte membre de votre organisation, celle-ci doit avoir préalablement activé le mode [toutes les fonctionnalités](orgs_getting-started_concepts.md#feature-set-all). AWS Organizations en mode de facturation consolidée ou sur des comptes ne faisant pas partie d'une organisation, ne peuvent pas mettre à jour leur adresse e-mail d'utilisateur racine (adresse ) de manière centralisée. Les utilisateurs qui souhaitent modifier l'adresse e-mail de l'utilisateur root (adresse ) pour les comptes non pris en charge par l'API doivent continuer à utiliser la console de facturation pour gérer leur adresse e-mail utilisateur root (adresse e-mail ).
Pour step-by-step savoir comment mettre à jour l'adresse e-mail de l'utilisateur root de votre compte membre (adresse e-mail [e-mail de l'utilisateur root pour n'importe quel Compte AWS membre de votre organisation](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs) dans le *Guide de Gestion de compte AWS référence*.
# Gérer les invitations à un compte avec AWS Organizations
Après avoir [créé une organisation](orgs_manage_org_create.md) et [vérifié que vous possédez l'adresse e-mail](about-email-verification.md) associée au compte de gestion, vous pouvez inviter des personnes existantes Comptes AWS à rejoindre votre organisation. Utilisez la AWS Organizations console pour lancer et gérer les invitations que vous envoyez à d'autres comptes. Vous ne pouvez envoyer une invitation à d'autres comptes qu'à partir du compte de gestion de votre organisation.
Lorsque vous invitez un compte, AWS Organizations envoie une invitation au propriétaire du compte, qui peut décider d'accepter ou de refuser l'invitation.
Si vous êtes l'administrateur d'une Compte AWS, vous pouvez également accepter ou refuser une invitation d'une organisation. Si vous acceptez, votre compte devient membre de cette organisation.
Pour créer un compte qui fait automatiquement partie d'une organisation, consultez[Création d'un compte membre dans une organisation avec AWS Organizations](orgs_manage_accounts_create.md).
**Important**
Tous les comptes d'une organisation doivent provenir de la même AWS partition que le compte de gestion. Les comptes de la Régions AWS partition commerciale ne peuvent pas appartenir à une organisation dont les comptes proviennent de la partition des régions de la Chine ou des comptes de la partition AWS GovCloud (US) des régions.
**Topics**
+ [Considérations](#impact_of_join)
+ [Envoi d'invitations](orgs_manage_accounts_invite-account.md)
+ [Gestion des invitations en attente](orgs_manage_accounts_manage-invites.md)
+ [Accepter ou refuser des invitations](orgs_manage_accounts_accept-decline-invite.md)
## Considérations
**Limitations du nombre d'invitations que vous pouvez envoyer par jour**
Pour connaître les limites du nombre d'invitations que vous pouvez envoyer par jour, consultez[Valeurs minimales et maximales](orgs_reference_limits.md#min-max-values). Les invitations acceptées ne sont pas prises en compte dans ce quota. Dès qu'une invitation est acceptée, vous pouvez envoyer une autre invitation le même jour. Chaque invitation doit recevoir une réponse dans un délai de 15 jours, sinon, elle expire.
Une invitation qui est envoyée à un compte est comptabilisée par rapport au quota de comptes de votre organisation. Le décompte est réinitialisé si le compte invité refuse, si le compte de gestion annule l'invitation ou si l'invitation expire.
**Un compte ne peut rejoindre qu'une seule organisation**
Un compte ne peut rejoindre qu'une seule organisation. Si vous recevez plusieurs invitations, vous ne pouvez en accepter qu'une seule.
**L'historique de facturation et les rapports restent enregistrés dans le compte de gestion**
L'historique de facturation et les rapports relatifs à tous les comptes sont conservés dans le compte de gestion d'une organisation. Avant de transférer le compte vers une nouvelle organisation, exportez ou sauvegardez les historiques de facturation et de rapports des comptes membres que vous souhaitez conserver. Cela peut inclure les [rapports sur les coûts et l'utilisation](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html), les [rapports Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html), les [rapports Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr), ainsi que [l'utilisation et la couverture des instances réservées (RI)](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer).
**Le compte de gestion est responsable de tous les frais accumulés par les comptes des membres**
Une fois qu'un compte a accepté l'invitation à rejoindre une organisation, le compte de gestion de l'organisation devient responsable de tous les frais accumulés par le nouveau compte membre. Le moyen de paiement associé au compte membre n'est plus utilisé. Au lieu de cela, le moyen de paiement associé au compte de gestion de l'organisation paie tous les frais encourus par le compte membre.
**Organizations crée automatiquement le rôle lié au service `AWSServiceRoleForOrganizations`**
AWS Organizations crée un rôle lié à un service appelé `AWSServiceRoleForOrganizations` à prendre en charge les intégrations entre AWS Organizations et d'autres services. AWS Pour de plus amples informations, veuillez consulter [AWS Organizations et rôles liés aux services](orgs_integrate_services.md#orgs_integrate_services-using_slrs). Le compte invité doit avoir ce rôle si votre organisation prend en charge [toutes les fonctionnalités](orgs_getting-started_concepts.md#feature-set-all). Vous pouvez supprimer ce rôle si l'organisation ne prend en charge que l'ensemble [de fonctionnalités de facturation consolidée](orgs_getting-started_concepts.md#feature-set-cb-only). Si vous supprimez ce rôle et que vous activez ultérieurement toutes les fonctionnalités de votre organisation, vous AWS Organizations recréez ce rôle pour le compte.
**Organizations ne crée pas automatiquement le rôle IAM `OrganizationAccountAccessRole`**
Pour les comptes de membres invités, le rôle [`OrganizationAccountAccessRole`](orgs_manage_accounts_access-cross-account-role.md)IAM AWS Organizations n'est pas automatiquement créé. Ce rôle accorde aux utilisateurs du compte de gestion l'accès administratif au compte membre. Si vous souhaitez activer ce niveau de contrôle administratif, vous pouvez ajouter manuellement le rôle au compte invité. Pour de plus amples informations, veuillez consulter [Création OrganizationAccountAccessRole d'un compte invité avec AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
**Note**
Lorsque vous créez un compte dans votre organisation au lieu d'inviter un compte existant à le rejoindre, le rôle IAM est AWS Organizations automatiquement créé `OrganizationAccountAccessRole` par défaut.
**Les politiques associées à la racine ou à l'unité d'organisation contenant le compte s'appliquent immédiatement**
Si vous avez des politiques associées à la racine ou à l'unité organisationnelle (UO) qui contient le compte invité, ces politiques s'appliquent immédiatement à tous les utilisateurs et rôles du compte invité.
Vous pouvez [activer la confiance en matière de service pour un autre AWS service](orgs_integrate_services_list.md) de votre organisation. Lorsque vous le faites, ce service approuvé peut créer des rôles liés au service ou exécuter des actions dans n'importe quel compte membre de l'organisation, y compris dans un compte invité.
**Organisations disposant uniquement de l'ensemble de fonctionnalités de facturation consolidée peuvent toujours inviter des comptes**
Vous pouvez inviter un compte à rejoindre une organisation où seules les fonctions de facturation consolidée sont activées. Si vous souhaitez activer ultérieurement toutes les fonctions de l'organisation, les comptes invités doivent approuver la modification.
# Envoyer des invitations à un compte avec AWS Organizations
Vous devez confirmer que vous possédez l'adresse e-mail associée au compte de gestion avant de pouvoir inviter des comptes à votre organisation. Pour de plus amples informations, veuillez consulter [Vérification de l'adresse e-mail avec AWS Organizations](about-email-verification.md). Une fois que vous avez validé votre adresse e-mail, effectuez les opérations suivantes pour inviter des comptes à votre organisation.
**Autorisations minimales**
Pour inviter un Compte AWS homme à rejoindre votre organisation, vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` (console uniquement)
`organizations:InviteAccountToOrganization`
------
#### [ AWS Management Console ]
**Pour inviter un autre compte à rejoindre votre organisation**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Si vous avez déjà vérifié votre adresse e-mail auprès de AWS, ignorez cette étape.
Si vous n'avez pas encore validé votre adresse e-mail, suivez les instructions sous [e-mail de vérification](about-email-verification.md) dans les 24 heures après la création de l'organisation. Il peut y avoir un certain délai avant la réception de l'e-mail de vérification. Vous ne pouvez pas inviter un compte à rejoindre votre organisation tant que vous n'avez pas validé votre adresse e-mail.
1. Accédez à la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, puis choisissez **Ajouter un compte AWS **.
1. Dans la page **[Ajouter un Compte AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, choisissez **Inviter un compte AWS existant**.
1. Sur la AWS page **[Inviter un compte existant](https://console.aws.amazon.com/organizations/v2/home/accounts/add/invite)**, dans le **champ Adresse e-mail ou identifiant du compte Compte AWS à inviter**, entrez soit l'adresse e-mail associée au compte à inviter, soit son numéro d'identification de compte.
1. (Facultatif) Dans **Message à inclure dans l'e-mail d'invitation**, saisissez le texte que vous souhaitez inclure dans l'e-mail d'invitation envoyé au propriétaire du compte invité.
1. (Facultatif) Dans **Ajouter des balises**, spécifiez une ou plusieurs balises qui seront automatiquement appliquées au compte une fois que son administrateur aura accepté l'invitation. Pour cela, choisissez **Ajouter une balise**, puis saisissez une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à un Compte AWS.
1. Choisissez **Send invitation** (Envoyer une invitation).
**Important**
Si vous obtenez un message indiquant que vous avez dépassé vos quotas de comptes pour l'organisation ou que vous ne pouvez pas ajouter un compte parce que votre organisation est toujours en cours d'initialisation, contactez [AWS Support](https://console.aws.amazon.com/support/home#/).
1. La console vous redirige vers la page **[Invitations](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**, où vous pouvez consulter toutes les invitations ouvertes et acceptées. L'invitation que vous venez de créer s'affiche en haut de la liste avec son statut défini sur **OUVERTE**.
AWS Organizations envoie une invitation à l'adresse e-mail du propriétaire du compte que vous avez invité à rejoindre l'organisation. Ce message électronique inclut un lien vers la AWS Organizations console, où le propriétaire du compte peut consulter les détails et choisir d'accepter ou de refuser l'invitation. Le propriétaire du compte invité peut également ignorer le message électronique, accéder directement à la AWS Organizations console, consulter l'invitation et l'accepter ou la refuser.
L'invitation à ce compte est immédiatement comptabilisée par rapport au nombre maximal de comptes que vous pouvez avoir dans votre organisation. AWS Organizations n'attend pas que le compte ait accepté l'invitation. Si le compte invité refuse, le compte de gestion annule l'invitation. Si le compte invité ne répond pas dans le délai spécifié, l'invitation expire. Dans les deux cas, l'invitation n'est plus comptabilisée dans votre quota.
------
#### [ AWS CLI & AWS SDKs ]
**Pour inviter un autre compte à rejoindre votre organisation**
Vous pouvez utiliser l'une des commandes suivantes pour inviter un autre compte à rejoindre votre organisation :
+ AWS CLI: [invite-account-to-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/invite-account-to-organization.html)
```
$ aws organizations invite-account-to-organization \
--target '{"Type": "EMAIL", "Id": "juan@example.com"}' \
--notes "This is a request for Juan's account to join Bill's organization."
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "OPEN"
}
}
```
+ AWS SDKs: [InviteAccountToOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_InviteAccountToOrganization.html)
------
# Gérer les invitations à des comptes en attente avec AWS Organizations
Lorsque vous êtes connecté à votre compte de gestion, vous pouvez afficher tous les Comptes AWS liés dans votre organisation et annuler des invitations en attente (ouvertes). Pour ce faire, exécutez les étapes suivantes.
**Autorisations minimales**
Pour gérer les invitations en attente pour votre organisation, vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
`organizations:ListHandshakesForOrganization`
`organizations:CancelHandshake`
------
#### [ AWS Management Console ]
**Pour afficher ou annuler des invitations envoyées depuis votre organisation à d'autres comptes**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Accédez à la page **[Invitations](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**.
Cette page affiche toutes les invitations qui sont envoyées depuis votre organisation et leur statut actuel.
Si aucune invitation ne s'affiche, vérifiez si le compte invité est le compte de gestion d'une autre organisation. Seuls les comptes membres et les comptes autonomes peuvent recevoir des invitations. Les comptes de gestion ne peuvent pas recevoir d'invitations.
Si vous souhaitez inviter un compte qui est un compte de gestion dans une autre organisation, il est recommandé de faire de ce compte un compte autonome.
**Note**
Les invitations acceptées, annulées et refusées continuent de s'afficher dans la liste pendant 30 jours. Elles sont ensuite supprimées et ne s'affichent plus dans la liste.
1. Choisissez la case d'option ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/radio-button-selected.png) en regard de l'invitation que vous souhaitez annuler, puis choisissez **Annuler l'invitation**. Si la case d'option est grisée, cette invitation ne peut pas être annulée.
Le statut de l'invitation passe de **OUVERTE** à **ANNULÉE**.
AWS envoie un e-mail au propriétaire du compte indiquant que vous avez annulé l'invitation. Le compte ne peut plus rejoindre l'organisation, sauf si vous envoyez une nouvelle invitation.
------
#### [ AWS CLI & AWS SDKs ]
**Pour afficher ou annuler des invitations envoyées depuis votre organisation à d'autres comptes**
Vous pouvez utiliser les commandes suivantes pour afficher ou annuler des invitations :
+ AWS CLI: [list-handshakes-for-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-organization.html), [annuler-poignée](https://docs.aws.amazon.com/cli/latest/reference/organizations/cancel-handshake.html) de main
+ L'exemple suivant montre les invitations envoyées par cette organisation à d'autres comptes.
```
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Juan's account to join Bill's organization."
}
],
"State": "OPEN"
},
{
"Action": "INVITE",
"State":"ACCEPTED",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1.471797437427E9,
"Id": "h-examplehandshakeid222",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "anika@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1.469205437427E9,
"Resources": [
{
"Resources": [
{
"Type":"MASTER_EMAIL",
"Value":"bill@example.com"
},
{
"Type":"MASTER_NAME",
"Value":"Management Account"
}
],
"Type":"ORGANIZATION",
"Value":"o-exampleorgid"
},
{
"Type":"EMAIL",
"Value":"anika@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Anika's account to join Bill's organization."
}
]
}
]
}
```
L'exemple suivant montre comment annuler une invitation à un compte.
```
$ aws organizations cancel-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Id": "h-examplehandshakeid111",
"State":"CANCELED",
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "susan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Type": "ORGANIZATION",
"Value": "o-exampleorgid",
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@example.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "CONSOLIDATED_BILLING"
}
]
},
{
"Type": "EMAIL",
"Value": "anika@example.com"
},
{
"Type": "NOTES",
"Value": "This is a request for Susan's account to join Bob's organization."
}
],
"RequestedTimestamp": 1.47008383521E9,
"ExpirationTimestamp": 1.47137983521E9
}
}
```
+ AWS SDKs: [ListHandshakesForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListHandshakesForOrganization.html), [CancelHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CancelHandshake.html)
------
# Accepter ou refuser des invitations à un compte avec AWS Organizations
Si vous recevez une invitation à rejoindre une organisation, vous pouvez accepter ou refuser l'invitation.
## Considérations
**Le statut d'un compte auprès d'une organisation influe sur les données de coût et d'utilisation visibles**
Si un compte membre quitte une organisation et devient un compte autonome, ce compte n'a plus accès aux données de coût et d'utilisation du temps où il était membre de l'organisation. Le compte a accès uniquement aux données générées alors qu'il est autonome.
Si un compte membre quitte l'organisation A pour rejoindre l'organisation B, ce compte n'a plus accès aux données de coût et d'utilisation du temps où il était membre de l'organisation A. Le compte a accès uniquement aux données générées alors qu'il est membre de l'organisation B.
Si un compte joint à nouveau une organisation à laquelle il appartenait, il a de nouveau accès à ses données historiques de coût et d'utilisation.
**Seuls les comptes membres et les comptes autonomes peuvent accepter ou refuser une invitation**
Seuls les comptes de membres et les comptes autonomes peuvent accepter ou refuser une invitation à rejoindre une organisation. Si une invitation est envoyée à un compte de gestion qui fait déjà partie d'une organisation, ce compte ne pourra pas consulter l'invitation tant qu'il n'aura pas [supprimé tous les comptes membres de son organisation](orgs_manage_accounts_remove.md) et [supprimé l'organisation](orgs_manage_org_delete.md).
**CloudTrail la journalisation a lieu dans le compte effectuant l'action**
Si un compte membre ou un compte autonome accepte ou refuse une invitation à créer un compte, cette action sera enregistrée dans le CloudTrail journal du compte intérimaire. Si le compte intérimaire est un compte membre, cette action ne sera pas enregistrée dans les CloudTrail journaux du compte de gestion. Cela est cohérent avec la CloudTrail connexion à des scénarios connexes (ex. Le compte du membre quittant l'organisation sera connecté au compte de membre (suivi du compte de membre, suppression du compte du membre, suivi du compte de gestion).
## Accepter ou refuser une invitation à créer un compte
Pour accepter ou refuser l'invitation, procédez comme suit.
**Autorisations minimales**
Pour accepter ou refuser une invitation à rejoindre une organisation , vous devez disposer des autorisations suivantes :
`organizations:ListHandshakesForAccount`— Nécessaire pour voir la liste des invitations dans la AWS Organizations console.
`organizations:AcceptHandshake`.
`organizations:DeclineHandshake`.
`organizations:LeaveOrganization`— Obligatoire uniquement lorsque vous acceptez une invitation alors que votre compte est déjà membre d'une organisation.
`iam:CreateServiceLinkedRole`— Requis uniquement lorsque l'acceptation de l'invitation nécessite la création d'un rôle lié au service dans le compte du membre pour faciliter l'intégration avec les autres. Services AWS Pour de plus amples informations, veuillez consulter [AWS Organizations et rôles liés aux services](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
------
#### [ AWS Management Console ]
**Pour accepter ou refuser une invitation**
1. Une invitation à rejoindre une organisation est envoyée à l'adresse e-mail du propriétaire du compte. Si vous êtes le propriétaire d'un compte et que vous recevez une invitation par e-mail, suivez les instructions de l'e-mail d'invitation ou accédez à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2) dans votre navigateur et choisissez **Invitations** ou accédez directement à la page **[Invitations du compte membre](https://console.aws.amazon.com/organizations/v2/home/invitations)**.
1. Si vous y êtes invité, connectez-vous au compte invité en tant qu'utilisateur IAM, assumez un rôle IAM, ou connectez-vous en tant qu'utilisateur racine du compte ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).
1. La page **[Invitations](https://console.aws.amazon.com/organizations/v2/home/invitations)** du compte membre affiche les invitations ouvertes de votre compte à rejoindre des organisations.
Choisissez **Accepter l'invitation** ou **Refuser l'invitation** selon le cas.
+ Si vous choisissez **Accepter l'invitation** à l'étape précédente, la console vous redirige vers la page [Présentation de l'organisation](https://console.aws.amazon.com/organizations/v2/home/dashboard) avec les détails de l'organisation dont votre compte est désormais membre. Vous pouvez voir l'ID de l'organisation et l'adresse e-mail du propriétaire.
**Note**
Les invitations acceptées continuent de s'afficher dans la liste pendant 30 jours. Elles sont ensuite supprimées et ne s'affichent plus dans la liste.
AWS Organizations crée automatiquement un rôle lié au service dans le nouveau compte membre pour faciliter l'intégration entre AWS Organizations les autres. Services AWS Pour de plus amples informations, veuillez consulter [AWS Organizations et rôles liés aux services](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
AWS envoie un e-mail au propriétaire du compte de gestion de l'organisation indiquant que vous avez accepté l'invitation. Il envoie également au propriétaire du compte membre un e-mail indiquant que le compte est désormais membre de l'organisation.
+ Si vous avez choisi **Refuser l'invitation** à l'étape précédente, votre compte reste affiché sur la page **[Invitations](https://console.aws.amazon.com/organizations/v2/home/invitations)** du compte membre, qui répertorie les autres invitations en attente.
AWS envoie un e-mail au propriétaire du compte de gestion de l'organisation indiquant que vous avez refusé l'invitation.
**Note**
Les invitations refusées continuent de s'afficher dans la liste pendant 30 jours. Elles sont ensuite supprimées et ne s'affichent plus dans la liste.
------
#### [ AWS CLI & AWS SDKs ]
**Pour accepter ou refuser une invitation**
Vous pouvez utiliser les commandes suivantes pour accepter ou refuser une invitation :
+ AWS CLI : [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html), [decline-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/decline-handshake.html)
L'exemple suivant montre comment accepter une invitation à rejoindre une organisation.
```
$ aws organizations accept-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"RequestedTimestamp": 1481656459.257,
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "ALL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "ACCEPTED"
}
}
```
L'exemple suivant montre comment refuser une invitation à rejoindre une organisation.
+ AWS SDKs: [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html), [DeclineHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeclineHandshake.html)
------
# Migrer un compte vers une autre organisation avec AWS Organizations
Vous pouvez effectuer une migration Compte AWS d'une organisation à une autre à tout moment. Par exemple, la migration d'un compte peut être utile dans le cas d'une fusion et d'une acquisition lorsque vous devez regrouper une ou plusieurs organisations au sein Comptes AWS d'une seule organisation.
Quel que soit votre cas d'utilisation, la migration d'un compte entre organisations nécessite que vous envoyiez une invitation depuis le compte de gestion de la nouvelle organisation et que vous utilisiez le compte invité pour accepter l'invitation à rejoindre la nouvelle organisation.
**Note**
**Les comptes fermés ou suspendus ne peuvent pas être migrés.**
Vous ne pouvez pas migrer un compte fermé ou suspendu. Pour réactiver un compte, contactez [Support](https://aws.amazon.com/contact-us/).
**Âge requis de quatre jours**
Pour migrer un compte que vous avez créé dans une organisation, vous devez attendre au moins quatre jours après sa création. Les comptes invités ne sont pas soumis à cette période d'attente.
**Réplication des données entre comptes**
Le guide AWS prescriptif suivant fournit des informations sur les stratégies de réplication des données entre Comptes AWS : [réplication de ressources ou](https://docs.aws.amazon.com/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/resource-migration.html) migration entre. Comptes AWS
## Ce que vous devez faire avant de migrer un compte
Avant de migrer Compte AWS d'une organisation à une autre, assurez-vous d'avoir effectué les étapes suivantes.
### Étape 1 : Vérifiez que vous disposez des autorisations IAM nécessaires pour migrer un compte
#### Étape 1
Assurez-vous d'avoir appliqué les autorisations nécessaires pour migrer un compte vers les organisations respectives.
**Pour quitter une organisation, vous devez disposer des autorisations suivantes :**
+ `organizations:DescribeOrganization` (console uniquement)
+ `organizations:LeaveOrganization`
Pour plus d'informations, voir [Quitter une organisation de votre compte membre](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_leave-as-member.html).
**Pour inviter un membre Compte AWS à rejoindre une organisation, vous devez disposer des autorisations suivantes :**
+ `organizations:DescribeOrganization` (console uniquement)
+ `organizations:InviteAccountToOrganization`
Pour plus d'informations, voir [Inviter un Compte AWS homme à rejoindre votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
**Pour migrer un compte, vous ne pouvez pas avoir de politiques IAM ou de politiques de contrôle des services qui empêchent la migration**
Si vous êtes le compte de gestion ou un administrateur délégué, vous pouvez contrôler l'accès aux AWS ressources en associant des politiques d'autorisation aux identités IAM (utilisateurs, groupes et rôles) au sein d'une organisation. Pour plus d'informations, consultez les [politiques IAM pour AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_iam-policies.html).
Avant de migrer un compte :
+ Vérifiez qu'aucune politique IAM ou politique de contrôle des services (SCPs) ne vous empêche de migrer le compte.
+ Identifiez les politiques IAM et les politiques de contrôle des services (SCPs) existantes que vous devez répliquer dans l'organisation dans laquelle vous migrez le compte.
+ Identifiez les politiques IAM existantes qui spécifient l'ID de votre organisation. Par exemple, [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid).
Pour plus d'informations, consultez les sections [Gestion des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) dans le *Guide de l'utilisateur IAM* et [Politiques de contrôle des services () SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).
### Étape 2 : Vérifiez que vous avez supprimé les autorisations IAM qui permettent d'accéder à l'ancien compte de gestion
#### Étape 2
Assurez-vous d'avoir supprimé les autorisations IAM qui permettent d'accéder à l'ancien compte de gestion, telles que`OrganizationAccountAccessRole`.
Lorsque vous supprimez un compte membre d'une organisation, aucun rôle IAM créé pour permettre l'accès par le compte de gestion de l'organisation n'est pas automatiquement supprimé. Si vous souhaitez mettre fin à cet accès à partir du compte de gestion de l'ancienne organisation, vous devez supprimer manuellement le rôle IAM.
Pour plus d'informations sur la suppression d'un rôle, consultez [Suppression de rôles ou de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dans le *Guide de l'utilisateur IAM*.
### Étape 3 : Sauvegarder tous les rapports
#### Étape 3
Assurez-vous d'exporter ou de sauvegarder les rapports du compte de gestion, en particulier les rapports de facturation. Les rapports et l'historique au niveau de l'organisation ne sont pas stockés lorsque vous migrez un compte. Il est recommandé d'exporter l'intégralité de l'historique de facturation. Vous pouvez toujours accéder aux rapports relatifs au compte membre, tels que l'historique des AWS CloudTrail événements et l'historique de facturation du compte.
**Important**
Tous les rapports et historiques au niveau de l'organisation, tels que les informations de facturation de l'organisation figurant dans le compte de gestion, seront supprimés après le retrait d'un compte d'une organisation.
Pour plus d'informations, consultez les [rapports sur les coûts et l'utilisation](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html), les [rapports Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html), [les rapports Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr) et [l'utilisation et la couverture des instances réservées (RI)](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer).
### Étape 4 : Vérifier les dépendances de l'organisation
#### Étape 4
Assurez-vous que le compte de migration ne comporte aucune dépendance liée à l'organisation.
**Dépendances à vérifier :**
+ Si le compte est un administrateur délégué, vous devez annuler l'enregistrement des autorisations d'administrateur délégué avant de migrer le compte. Pour plus d'informations, consultez la section [Services que vous pouvez utiliser avec AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
+ S'il s'agit du compte de gestion, vous devez supprimer tous les comptes membres de l'organisation et supprimer l'organisation avant de procéder à la migration. Après avoir supprimé l'organisation, votre compte de gestion fonctionnera comme un compte autonome. Après la migration, le compte de gestion sera un compte membre de la nouvelle organisation. Pour plus d'informations, voir [Supprimer une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html).
+ Si des autorisations IAM dépendent du compte, vous devrez ajuster les autorisations de l'ancienne organisation après avoir migré le compte vers la nouvelle organisation afin que l'ancienne organisation puisse fonctionner comme avant. Pour plus d'informations, consultez [la section Gestion des autorisations d'accès pour votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html).
+ Si vous utilisez des balises de compte ou d'unité organisationnelle (UO), vous devrez les recréer dans la nouvelle organisation.
### (Facultatif) Étape 5 : Consultez les instructions si vous utilisez AWS Control Tower
#### (Facultatif) Étape 5
Si vous migrez un compte vers ou depuis une organisation gérée par AWS Control Tower, consultez le guide AWS prescriptif suivant : [Migrer un compte AWS membre](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html) de vers. AWS Organizations AWS Control Tower
## Ce que vous devez faire pour migrer un compte
Le processus de migration exige que la nouvelle organisation envoie une invitation au compte de migration, et que le compte de migration accepte l'invitation de la nouvelle organisation à rejoindre la nouvelle organisation.
**Pour migrer un compte**
1. Envoyez une invitation depuis le compte de gestion de la nouvelle organisation vers le compte de migration. Pour plus d'informations sur l'invitation de comptes, voir [Inviter un Compte AWS utilisateur à rejoindre votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
1. Acceptez l'invitation à rejoindre la nouvelle organisation. Pour plus d'informations, voir [Accepter une invitation d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite). Les comptes migrés d'une autre organisation à une autre seront automatiquement ajoutés à la racine de la nouvelle organisation. Avant de déplacer un compte vers une unité organisationnelle (UO) de la nouvelle organisation, il est recommandé de vérifier que le compte migrateur dispose des politiques d'organisation et des autorisations d'unité d'organisation appropriées.
1. Si vous souhaitez migrer le compte de gestion, vous devez [supprimer tous les comptes membres](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) de l'organisation et [supprimer l'organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html) avant de migrer le compte de gestion vers la nouvelle organisation. Après avoir supprimé l'ancienne organisation, votre compte de gestion fonctionnera comme un compte autonome et pourra accepter l'invitation de la nouvelle organisation à rejoindre la nouvelle organisation. Si vous acceptez l'invitation, le compte de gestion sera un compte membre de la nouvelle organisation.
## Ce que vous devez faire après avoir migré un compte
Après avoir migré votre compte d'une organisation à une autre, assurez-vous d'avoir effectué les étapes suivantes.
**Examen après la migration**
1. Évaluez toutes les [configurations de l'outil de facturation](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-laying-the-foundation/reporting-cost-optimization-tools.html) pour le compte migré, telles que les catégories de coûts, les budgets et les alarmes de facturation.
1. Consultez et mettez à jour les informations monétaires suivantes pour tous les comptes que vous avez migrés d'une organisation à une autre :
1. Si nécessaire, [mettez à jour les paramètres fiscaux](https://repost.aws/knowledge-center/update-tax-registration-number) du compte.
1. Assurez-vous que le [Support plan](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidatedbilling-support.html) de migration du compte correspond au compte payeur de la nouvelle organisation.
1. Passez en revue les éventuelles [exonérations fiscales](https://aws.amazon.com/tax-help/united-states/) que vous souhaiteriez appliquer au compte que vous avez migré.
1. Validez et confirmez les politiques IAM et les politiques de contrôle des services (SCPs) existantes pour le compte migré. Par exemple, vous devrez peut-être mettre à jour l'ID de l'organisation pour certaines politiques IAM afin de refléter la nouvelle organisation.
1. Mettez à jour les [balises de répartition des coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) pour la nouvelle organisation dans laquelle vous avez migré le compte. Vous devrez mettre à jour toutes les anciennes balises de répartition des coûts collectées par compte que vous avez migré.
1. Toutes les [instances réservées](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-behavior.html) et les [plans d'épargne](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html) seront migrés en même temps que le compte. Ils ne sont pas conservés dans l'ancienne organisation. Contactez-nous Support si ceux-ci doivent être transférés à l'ancienne organisation.
# Afficher les détails d'un compte dans AWS Organizations
Lorsque vous vous connectez au compte de gestion de l'organisation dans la [AWS Organizations console](https://console.aws.amazon.com/organizations/v2), vous pouvez consulter les informations relatives à vos comptes de membres.
**Autorisations minimales**
Pour consulter les détails d'un Compte AWS, vous devez disposer des autorisations suivantes :
`organizations:DescribeAccount`
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
`organizations:ListAccounts` — requis uniquement si vous utilisez la console Organizations
------
#### [ AWS Management Console ]
**Pour afficher les détails d'un Compte AWS**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Accédez à la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** et choisissez le nom du compte (pas la case d'option) que vous souhaitez examiner. Si le compte que vous souhaitez est un enfant d'une unité d'organisation, vous devrez peut-être choisir l'icône en triangle ![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png) à côté d'une unité d'organisation pour la développer et voir ses enfants. Répétez jusqu'à trouver le compte.
La zone **Détails du compte** affiche les informations relatives au compte.
------
#### [ AWS CLI & AWS SDKs ]
**Pour afficher les détails d'un Compte AWS**
Vous pouvez utiliser les commandes suivantes pour afficher les détails d'un compte :
+ AWS CLI:
+ [liste-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html) : répertorie les détails de *tous* les comptes de l'organisation
+ [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html) : répertorie uniquement les détails du compte spécifié
Les deux commandes renvoient les mêmes détails pour chaque compte inclus dans la réponse.
L'exemple suivant montre comment extraire les détails d'un compte spécifié.
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ AWS SDKs:
+ [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
+ [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# Exporter les détails de tous les comptes dans AWS Organizations
Avec AWS Organizations, les utilisateurs du compte de gestion et les administrateurs délégués d'une organisation peuvent exporter un fichier .csv contenant tous les détails du compte au sein d'une organisation. Par conséquent, les administrateurs de l'organisation peuvent facilement consulter les comptes et filtrer par état : `PENDING_ACTIVATION``ACTIVE`,`SUSPENDED`,`PENDING_CLOSURE`, ou`CLOSED`. S'il existe de nombreux comptes dans votre organisation, l'option de téléchargement de fichier .csv permet d'afficher et de trier facilement les détails des comptes dans une feuille de calcul. Nous vous recommandons de générer de nouvelles exportations CSV plutôt que d'utiliser des versions précédemment enregistrées pour conserver les informations du compte courant.
**Important**
Nous avons retiré le `Status` paramètre de compte de l'`Accounts`objet de la AWS Organizations console le 9 septembre 2025. Le fichier d'exportation du compte affiche désormais le `State` paramètre au lieu du `Status` paramètre. Tous les processus en aval utilisant le fichier exporté `Organization_accounts_information.csv` doivent être mis à jour pour utiliser le `State` paramètre au lieu de`Status`.
**Note**
Seuls les principaux du compte de gestion peuvent télécharger la liste des comptes.
## Exportez une liste de tous les Comptes AWS membres de votre organisation
Lorsque vous vous connectez au compte de gestion de l'organisation, vous pouvez obtenir une liste de tous les comptes faisant partie de votre organisation sous forme de fichier .csv. Cette liste contient les détails des différents comptes. Toutefois, elle n'indique pas à quelle unité organisationnelle (UO) un compte appartient.
Voici les informations figurant dans le fichier .csv pour chaque compte :
+ **Account ID (ID de compte)** – Identifiant de compte numérique. Par exemple : 123456789012
+ **ARN** – Amazon Resource Name du compte. Par exemple : `arn:aws:organizations::123456789012account/o-o1gb0d1234/123456789012`
+ **Email (Adresse e-mail)** – Adresse e-mail associée au compte. Par exemple : marymajor@exemple.com
+ **Name (Nom)** – Nom de compte fourni par le créateur du compte. Par exemple : compte de test d'étape
+ **Status (Statut)** – Statut du compte au sein de l'organisation. Les valeurs possibles sont `PENDING`, `ACTIVE` ou `SUSPENDED`.
+ **État - État** du compte opérationnel au sein de l'organisation. La valeur peut être `PENDING_ACTIVATION``ACTIVE`,`SUSPENDED`,`PENDING_CLOSURE`, ou`CLOSED`.
+ **Joined method (Méthode d'adhésion)** – Indique comment le compte a été créé. Les valeurs possibles sont `INVITED` ou `CREATED`.
+ **Joined timestamp (Horodatage de l'adhésion)** – Date et heure auxquelles le compte a rejoint l'organisation.
**Autorisations minimales**
Pour pouvoir exporter un fichier .csv contenant tous les comptes membres de l'organisation, vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization`
`organizations:ListAccounts`
------
#### [ AWS Management Console ]
**Pour exporter un fichier .csv pour tous les membres Comptes AWS de votre organisation**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Choisissez **Actions**, et pour **Compte AWS**, choisissez **Export account list (Exporter la liste des comptes)**. La bannière bleue en haut de la page indique « Export is in progress\$1 » (L'exportation est en cours).
1. Lorsque le fichier est prêt, la bannière passe au vert et indique : « Download is ready » (Le téléchargement est prêt). Choisissez **Télécharger le rapport CSV**. Le dossier `Organization_accounts_information.csv` est téléchargé sur votre appareil.
------
#### [ AWS CLI & AWS SDKs ]
La seule façon d'exporter le fichier .csv avec les détails des comptes est d'utiliser la AWS Management Console. Vous ne pouvez pas exporter le fichier .csv de liste des comptes à partir d' AWS CLI.
------
# Surveillez l'état de votre Comptes AWS
AWS Organizations permet d'évaluer rapidement l'état de santé et le statut opérationnel de tous les comptes de votre organisation. Vous pouvez consulter ces informations à l'aide de la colonne **État** de la AWS Organizations console ou par programmation. AWS Organizations APIs Cela vous permet de suivre l'évolution de chacun Compte AWS dans son cycle de vie, de sa création à sa fermeture.
Le suivi continu de l'état du compte offre les avantages suivants :
+ Identifiez rapidement les comptes qui nécessitent une attention ou une action
+ Simplifiez les processus de gestion de votre compte
+ Prenez des décisions éclairées concernant l'allocation des ressources et le contrôle d'accès
+ Améliorez la sécurité globale et la conformité au sein de votre entreprise
Le tableau ci-dessous décrit les cinq états de compte possibles et leurs implications pour votre compte Comptes AWS :
**États du compte**
| State | Description |
| --- | --- |
| EN ATTENTE D'ACTIVATION | Dans cet état, le compte est inutilisable car le processus d'inscription au compte a été lancé mais n'a jamais été terminé. Le titulaire du compte doit effectuer les étapes d'inscription restantes, telles que la vérification par téléphone ou les informations de paiement. Une fois ces étapes terminées, le compte passe à l'état ACTIF. |
| ACTIF | Cet état indique que le compte est pleinement opérationnel et disponible. Les utilisateurs peuvent accéder aux AWS services et aux ressources normalement conformément aux autorisations du compte et aux politiques de l'organisation. Des AWS activités régulières telles que le lancement de ressources, la gestion de services et le paiement de frais peuvent avoir lieu dans cet état. |
| INTERROMPU | Dans cet état, le compte est inutilisable car AWS son accès est restreint. Le titulaire du compte peut toujours consulter les informations de facturation et contacter Support, qui pourra expliquer pourquoi le compte est suspendu. |
| EN ATTENTE DE FERMETURE | Cet état temporaire indique une demande active de fermeture du compte, mais le processus de fermeture n'est pas encore terminé. Le compte reste fonctionnel et peut toujours être utilisé pour accéder aux AWS services pendant le traitement de la demande de fermeture. Après AWS avoir traité la demande de fermeture, le compte passe à l'état FERMÉ. |
| CLOSED | Cet état indique que le compte a été fermé à la demande du titulaire du compte ou par AWS et s'affiche à côté du nom du compte dans la AWS Organizations console pendant 90 jours après le début de la fermeture. Pendant cette période, vous ne pouvez pas accéder aux AWS services, mais vous pouvez nous contacter Support pour rétablir le compte ou récupérer des données importantes. À l'expiration du délai de 90 jours suivant la fermeture, le compte est définitivement fermé et ne sera plus affiché sur la console. AWS Organizations |
## Afficher l'état d'un Compte AWS
Vous pouvez consulter les informations sur l'état du compte à l'aide de la AWS Organizations console ou par programmation à l'aide des touches `DescribeAccount``ListAccounts`, et. `ListAccountsForParent` APIs
**Important**
Le `Status` paramètre du compte AWS Organizations sera retiré le 9 septembre 2026. Bien que le compte `State` et les `Status` paramètres du compte soient actuellement disponibles dans le AWS Organizations APIs (`DescribeAccount`,`ListAccounts`,`ListAccountsForParent`), nous vous recommandons de mettre à jour vos scripts ou tout autre code pour utiliser le `State` paramètre plutôt `Status` qu'avant le 9 septembre 2026.
------
#### [ AWS Management Console ]
**Pour afficher l'état d'un Compte AWS**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Accédez à la **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**page et notez la valeur dans la colonne **État** à côté du compte membre que vous souhaitez examiner. Si le compte que vous souhaitez voir est un enfant d'une unité d'organisation, vous devrez peut-être choisir l'icône en forme de triangle à ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png) côté d'une unité d'organisation pour l'agrandir et voir ses enfants. Répétez jusqu'à trouver le compte.
**Note**
Vous pouvez également consulter la valeur du champ **État** sur la page des **détails du compte** de la AWS Organizations console.
------
#### [ AWS CLI & AWS SDKs ]
**Pour afficher l'état d'un Compte AWS**
Vous pouvez utiliser les commandes suivantes pour consulter l'état d'un compte :
**Note**
Pour afficher les valeurs de l'état du compte dans les réponses de l'API, utilisez la AWS CLI version 2.29.0 ou ultérieure, ou une version du SDK publiée après le 9 septembre 2025. Nous vous recommandons d'utiliser la dernière version AWS CLI ou la version du SDK comme meilleure pratique. Pour plus d'informations, reportez-vous AWS SDKs à la section « [Cycle de vie des versions des outils](https://docs.aws.amazon.com/sdkref/latest/guide/version-support-matrix.html) » dans le *guide de référence « AWS SDKs and Tools* ».
+ AWS CLI:
+ [liste-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html) : répertorie les détails de *tous* les comptes de l'organisation
+ [list-accounts-for-parent](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts-for-parent.html)— répertorie les détails de *tous les* comptes de l'organisation contenus par la racine ou l'unité organisationnelle (UO) cible spécifiée
+ [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html) : répertorie uniquement les détails du compte spécifié
Ces commandes renvoient les mêmes informations pour chaque compte inclus dans la réponse.
L'exemple suivant montre comment récupérer les informations relatives à un compte spécifié, y compris sa `State` valeur.
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"State": "CLOSED",
"Status": "SUSPENDED",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ AWS SDKs:
+ [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
+ [ListAccountsForParent](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccountsForParent.html)
+ [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# Mettre à jour les contacts alternatifs pour un compte dans AWS Organizations
Vous pouvez mettre à jour les contacts alternatifs pour les comptes de votre organisation à l'aide de la console AWS Organizations, ou par programmation à l'aide de la AWS CLI ou. AWS SDKs Pour savoir comment mettre à jour les contacts secondaires, voir [Mettre à jour les contacts secondaires de n'importe quel membre de votre organisation Compte AWS dans](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-alternate.html#manage-acct-update-contact-alternate-orgs.html) le manuel de *référence sur la gestion des AWS comptes*.
# Mettre à jour les informations de contact principales d'un compte dans AWS Organizations
Vous pouvez mettre à jour les coordonnées principales des comptes de votre organisation à l'aide de la console AWS Organizations, ou par programmation à l'aide de la AWS CLI ou. AWS SDKs Pour savoir comment mettre à jour les informations du contact principal, voir [Mettre à jour le contact principal de n'importe quel membre de votre organisation Compte AWS dans](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-primary.html#manage-acct-update-contact-primary-orgs) le manuel de *référence sur la gestion des AWS comptes*.
# Mise à jour Régions AWS pour un compte dans AWS Organizations
Vous pouvez activer la mise à jour Régions AWS pour les comptes de votre organisation à l'aide de la AWS Organizations console. Pour savoir comment activer la mise à jour Régions AWS, consultez la section [Activer ou désactiver Régions AWS dans votre compte](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html) dans le manuel de *référence sur la gestion des AWS comptes*.