Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione degli account in un'organizzazione con AWS Organizations
An *Account AWS*è un contenitore per AWS le tue risorse. Crei e gestisci AWS le tue risorse in un Account AWS.
Questo argomento descrive come gestire gli account per AWS Organizations.
**Topics**
+ [Gestione dell'account](orgs-manage_accounts_management.md)
+ [Account membri](orgs-manage_accounts_members.md)
+ [Inviti all'account](orgs_manage_accounts_invites.md)
+ [Esegui la migrazione di un account](orgs_account_migration.md)
+ [Visualizzare i dettagli di un account](orgs_view_account.md)
+ [Esporta i dettagli dell'account](orgs_manage_accounts_export.md)
+ [Monitora lo stato dell'account](orgs_manage_accounts_account_state.md)
+ [Aggiorna i contatti alternativi per un account](orgs_manage_accounts_update_contacts.md)
+ [Aggiorna il contatto principale di un account](orgs_manage_accounts_update_contacts_primary.md)
+ [Aggiornamento Regioni AWS per un account](orgs_manage_accounts_update_enabled_regions.md)
# Gestione dell'account di gestione con AWS Organizations
*Un account di gestione* è l'account Account AWS che usi per creare la tua organizzazione.
L'account di gestione è il proprietario finale dell'organizzazione e detiene il controllo finale sulle politiche di sicurezza, infrastruttura e finanza. Questo account ha la funzione di conto di pagamento ed è responsabile del pagamento di tutti gli addebiti maturati dai conti della sua organizzazione.
Questo argomento descrive come gestire l'account di gestione con. AWS Organizations
**Topics**
+ [
# Best practice per l'account di gestione
](orgs_best-practices_mgmt-acct.md)
+ [Chiusura di un account di gestione](orgs_manage_accounts_close_management.md)
# Best practice per l'account di gestione
Segui questi suggerimenti per proteggere la sicurezza dell'account di gestione in AWS Organizations. Questi suggerimenti presuppongono che tu segua anche la [best practice di utilizzare l'utente root soltanto per le attività che realmente lo richiedono](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).
**Topics**
+ [
## Limitazione di chi ha accesso all'account di gestione
](#bp_mgmt-acct_limit-access)
+ [
## Verifica e monitoraggio di chi ha accesso
](#bp_mgmt-acct_review-access)
+ [
## Utilizzare l'account di gestione solo per le attività che ***richiedono*** l'account di gestione
](#bp_mgmt-acct_use-mgmt)
+ [
## Evitare di distribuire carichi di lavoro sull'account di gestione dell'organizzazione
](#bp_mgmt-acct_avoid-deploying)
+ [
## Delegazione delle responsabilità esterne all'account di gestione per la decentralizzazione
](#bp_mgmt-acct_)
## Limitazione di chi ha accesso all'account di gestione
L'account di gestione è fondamentale per tutte le attività amministrative menzionate, come la gestione degli account, le politiche, l'integrazione con altri AWS servizi, la fatturazione consolidata e così via. Pertanto, dovresti limitare l'accesso all'account di gestione solo agli utenti amministratori che necessitano dei diritti per apportare modifiche all'organizzazione.
## Verifica e monitoraggio di chi ha accesso
Per assicurarti di mantenere l'accesso all'account di gestione, verifica periodicamente il personale dell'azienda che ha accesso all'indirizzo e-mail, alla password, alla MFA e al numero di telefono associato. Allinea la revisione alle procedure aziendali esistenti. Aggiungi la verifica mensile o trimestrale di queste informazioni per garantire che solo le persone giuste dispongano dell'accesso. Assicurati che il completamento del processo di ripristino o reimpostazione dell'accesso alle credenziali utente root non dipenda da un individuo specifico. Tutti i processi dovrebbero tenere in considerazione la possibilità che le persone non siano disponibili.
## Utilizzare l'account di gestione solo per le attività che ***richiedono*** l'account di gestione
Consigliamo di utilizzare l'account di gestione e i relativi utenti e ruoli per le attività che devono essere eseguite solo da tale account. Archivia tutte le tue AWS risorse Account AWS in altri membri dell'organizzazione e tienile lontane dall'account di gestione. Un motivo importante per conservare le risorse in altri account è che le politiche di controllo del servizio Organizations (SCPs) non funzionano per limitare gli utenti o i ruoli nell'account di gestione. Inoltre, la separazione delle risorse dall'account di gestione consente di comprendere gli addebiti sulle fatture.
Per un elenco delle attività che devono essere richiamate dall'account di gestione, vedi [Operazioni che è possibile chiamare solo dall'account di gestione dell'organizzazione](https://docs.aws.amazon.com/organizations/latest/APIReference/action-reference.html#actions-management-account).
## Evitare di distribuire carichi di lavoro sull'account di gestione dell'organizzazione
Le operazioni privilegiate possono essere eseguite all'interno dell'account di gestione di un'organizzazione e SCPs non si applicano all'account di gestione. Ecco perché dovresti limitare le risorse e i dati cloud contenuti nell'account di gestione solo a quelli che devono essere gestiti in tale account.
## Delegazione delle responsabilità esterne all'account di gestione per la decentralizzazione
Ove possibile, consigliamo di delegare responsabilità e servizi al di fuori dell'account di gestione. Fornisci ai tuoi team le autorizzazioni nei propri account per gestire le esigenze dell'organizzazione, senza richiedere l'accesso all'account di gestione. Inoltre, è possibile registrare più amministratori delegati per i servizi che supportano questa funzionalità, ad esempio per la condivisione del software all'interno dell'organizzazione o AWS Service Catalog CloudFormation StackSets per la creazione e la distribuzione di stack.
Per ulteriori informazioni, consulta [Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html), [Organizzazione AWS dell'ambiente utilizzando più account](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) e [Servizi AWS che puoi usare con AWS Organizations](orgs_integrate_services_list.md) per suggerimenti sulla registrazione degli account dei membri come amministratore delegato per vari servizi. AWS
Per ulteriori informazioni sulla configurazione degli amministratori delegati, consulta [Enabling a delegated admin account for Gestione dell'account AWS](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs-delegated-admin.html) e [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
# Chiusura di un account di gestione nell'organizzazione
Per chiudere l'account di gestione dell'organizzazione, è necessario innanzitutto [chiudere](orgs_manage_accounts_close.md) o [rimuovere](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account) tutti gli account dei membri dell'organizzazione. La chiusura dell'account di gestione comporta anche l'eliminazione dell'istanza AWS Organizations e di tutte le politiche create all'interno dell'organizzazione dopo la scadenza del [periodo successivo alla chiusura](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period).
## Chiudi l'account di gestione
Utilizzare la procedura seguente per chiudere un account di gestione.
**Importante**
Prima di chiudere l'account di gestione, ti consigliamo vivamente di esaminare le considerazioni e comprendere l'impatto della chiusura di un account. Per ulteriori informazioni, consulta [Cosa devi sapere prima di chiudere l'account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) e [Cosa aspettarti dopo la chiusura dell'account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) nella *Guida alla gestione dell'AWS account*.
------
#### [ AWS Management Console ]
**Per chiudere un account di gestione dalla pagina Account**
**Nota**
Non è possibile chiudere un account di gestione direttamente dalla AWS Organizations console.
1. [Accedi Console di gestione AWS come utente root dell'](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)account di gestione che desideri chiudere. Non puoi chiudere un account dopo aver effettuato l'accesso come utente o ruolo IAM.
1. Verifica che non ci siano ancora account membri attivi nella tua organizzazione. Per fare ciò, vai alla [AWS Organizations console](https://console.aws.amazon.com/organizations). Se disponi di un account membro ancora attivo, dovrai seguire le indicazioni fornite [Rimuovere un account membro da un'organizzazione](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account) prima di poter passare alla fase successiva. [Chiusura di un account membro in un'organizzazione con AWS Organizations](orgs_manage_accounts_close.md)
1. **Nella barra di navigazione nell'angolo in alto a destra, scegli il nome o il numero del tuo account, quindi scegli Account.**
1. Nella [pagina **Account**](https://console.aws.amazon.com/billing/home#/account), scegli il pulsante **Chiudi** account. Leggi e assicurati di aver compreso la guida alla chiusura dell'account.
1. Scegli il pulsante **Chiudi account** per avviare il processo di chiusura dell'account.
1. Entro pochi minuti, riceverai un'email di conferma della chiusura del tuo account.
------
#### [ AWS CLI & AWS SDKs ]
Questa attività non è supportata in AWS CLI o da un'operazione API di uno dei AWS SDKs. È possibile eseguire questa operazione solo utilizzando Console di gestione AWS.
------
# Gestione degli account dei membri con AWS Organizations
Un *account membro* è un account Account AWS, diverso dall'account di gestione, che fa parte di un'organizzazione.
Questo argomento descrive come gestire gli account dei membri con AWS Organizations.
**Topics**
+ [
# Best practice per gli account membri
](orgs_best-practices_member-acct.md)
+ [Creazione di un account membro](orgs_manage_accounts_create.md)
+ [Accesso agli account membri](orgs_manage_accounts_access.md)
+ [Chiusura di un account membro](orgs_manage_accounts_close.md)
+ [Protezione degli account membri dalla chiusura](orgs_account_close_policy.md)
+ [Rimozione di un account membro](orgs_manage_accounts_remove.md)
+ [Uscire da un'organizzazione da un account membro](orgs_manage_accounts_leave-as-member.md)
+ [Aggiornamento del nome dell'account di un account membro](orgs_manage_accounts_update_name.md)
+ [Aggiornamento dell'e-mail dell'utente root (e-mail di per un account membro)](orgs_manage_accounts_update_primary_email.md)
# Best practice per gli account membri
Segui questi suggerimenti per proteggere la sicurezza degli account membro nella tua organizzazione. Questi suggerimenti presuppongono che tu segua anche la [best practice di utilizzare l'utente root soltanto per le attività che realmente lo richiedono](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).
**Topics**
+ [
## Definizione del nome e degli attributi dell'account
](#bp_member-acct_define-acct)
+ [
## Dimensionamento efficiente dell'utilizzo dell'ambiente e dell'account
](#bp_member-acct_efficiently-scale)
+ [
## Abilita la gestione degli accessi root per semplificare la gestione delle credenziali degli utenti root per gli account dei membri
](#bp_member-acct_root-access-management)
## Definizione del nome e degli attributi dell'account
Per gli account membro, utilizza una struttura di denominazione e un indirizzo e-mail che riflettono l'utilizzo dell'account. Ad esempio, `Workloads+fooA+dev@domain.com` per `WorkloadsFooADev`, `Workloads+fooB+dev@domain.com` per `WorkloadsFooBDev`. Se hai definito tag personalizzati per l'organizzazione, consigliamo di assegnarli agli account che riflettono l'utilizzo dell'account, il centro di costo, l'ambiente e il progetto. Ciò semplifica l'identificazione, l'organizzazione e la ricerca degli account.
## Dimensionamento efficiente dell'utilizzo dell'ambiente e dell'account
Durante la scalabilità, prima di creare nuovi account, assicurati che non esistano già account con esigenze simili, per evitare inutili duplicazioni. Account AWS dovrebbe basarsi su requisiti di accesso comuni. Se hai intenzione di riutilizzare gli account, ad esempio un account utilizzato come ambiente di sperimentazione (sandbox) o equivalente, consigliamo di eliminare le risorse o i carichi di lavoro non necessari dagli account e di salvare gli account per un utilizzo futuro.
Prima di chiudere gli account, tieni presente che sono soggetti ai limiti delle quote di chiusura degli account. Per ulteriori informazioni, consulta [Quote e limiti di servizio per AWS Organizations](orgs_reference_limits.md). Valuta l'implementazione di un processo di pulizia per riutilizzare gli account invece di chiuderli e crearne di nuovi quando possibile. In questo modo, eviterai di incorrere in costi legati all'utilizzo delle risorse e di raggiungere i limiti delle [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html).
## Abilita la gestione degli accessi root per semplificare la gestione delle credenziali degli utenti root per gli account dei membri
Ti consigliamo di abilitare la gestione degli accessi root per aiutarti a monitorare e rimuovere le credenziali degli utenti root per gli account dei membri. La gestione degli accessi root impedisce il recupero delle credenziali degli utenti root, migliorando la sicurezza degli account nell'organizzazione.
+ Rimuovi le credenziali dell'utente root per gli account dei membri per impedire l'accesso all'utente root. Ciò impedisce inoltre il ripristino degli account membro dell'utente root.
+ Si supponga di disporre di una sessione privilegiata per eseguire le seguenti attività sugli account dei membri:
+ Rimuovi una policy del bucket configurata non correttamente che impedisce a tutti i principali di accedere al bucket Amazon S3.
+ Elimina una policy basata sulle risorse Amazon Simple Queue Service che nega a tutti i principali l'accesso a una coda Amazon SQS.
+ Consenti a un account membro di recuperare le credenziali dell'utente root. La persona con accesso alla casella di posta elettronica dell'utente root di per l'account membro può reimpostare la password dell'utente root e accedere come utente root dell'account membro.
Dopo aver abilitato la gestione dell'accesso root, gli account membro appena creati non secure-by-default dispongono di credenziali utente root, il che elimina la necessità di ulteriori misure di sicurezza, come l'MFA dopo il provisioning.
*Per ulteriori informazioni, consulta [Centralizzare le credenziali utente root per gli account dei membri nella Guida per l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)utente.AWS Identity and Access Management *
### Utilizza una SCP per limitare ciò che le operazioni che un utente root nei tuoi account membri può eseguire
Si consiglia di creare una policy di controllo dei servizi nell'organizzazione e di collegarla alla sua directory principale, in modo che venga applicata a tutti gli account membri. Per ulteriori informazioni, consulta la pagina [Secure your Organizations account root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations).
Puoi negare tutte le operazioni root tranne una specifica che devi eseguire nell'account membro. Ad esempio, il seguente SCP impedisce all'utente root di qualsiasi account membro di effettuare chiamate API di AWS servizio tranne «Aggiornamento di una policy del bucket S3 non configurata correttamente e nega l'accesso a tutti i principali» (una delle azioni che richiede credenziali root). Per ulteriori informazioni, consulta [Attività che richiedono le credenziali dell'utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) nella *Guida per l'utente di IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotAction":[
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:DeleteBucketPolicy"
],
"Resource": "*",
"Condition": {
"ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
}
}
]
}
```
------
Nella maggior parte dei casi, qualsiasi attività amministrativa può essere eseguita da un ruolo AWS Identity and Access Management (IAM) nell'account membro che dispone delle autorizzazioni di amministratore pertinenti. A tali ruoli devono essere applicati controlli adeguati per limitare, registrare e monitorare le attività.
# Creazione di un account membro in un'organizzazione con AWS Organizations
Questo argomento descrive come creare Account AWS all'interno dell'organizzazione in AWS Organizations. Per informazioni sulla creazione di un singolo Account AWS, consulta il [Getting Started Resource Center](https://aws.amazon.com/getting-started/).
## Considerazioni prima di creare un account membro
**Organizations crea automaticamente il ruolo IAM `OrganizationAccountAccessRole` per l'account membro**
Quando crei un account membro nella tua organizzazione, Organizations crea automaticamente il ruolo IAM `OrganizationAccountAccessRole` nell'account membro che consente agli utenti e ai ruoli dell'account di gestione di esercitare il pieno controllo amministrativo sull'account membro. Tutti gli account aggiuntivi collegati alla stessa policy gestita verranno aggiornati automaticamente ogni volta che la policy viene aggiornata. Questo ruolo è soggetto a qualsiasi [politica di controllo del servizio (SCPs)](orgs_manage_policies_scps.md) che si applica all'account membro.
**Organizations crea automaticamente il ruolo collegato al servizio `AWSServiceRoleForOrganizations` per l'account membro**
Quando crei un account membro nella tua organizzazione, Organizations crea automaticamente un ruolo collegato al servizio `AWSServiceRoleForOrganizations` nell'account membro che consente l'integrazione con servizi selezionati AWS . È necessario configurare gli altri servizi per consentire l'integrazione. Per ulteriori informazioni, consulta [AWS Organizations e ruoli collegati ai servizi](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
**Gli account dei membri possono essere creati solo nella directory principale di un'organizzazione**
Gli account dei membri di un'organizzazione possono essere creati solo nella radice di un'organizzazione. Dopo aver creato un account membro principale di un'organizzazione, puoi spostarlo da un account all'altro OUs. Per ulteriori informazioni, consulta [Spostamento degli account in un'unità organizzativa (OU) o tra la radice e OUs con AWS Organizations](move_account_to_ou.md).
**Le politiche allegate alla radice vengono applicate immediatamente**
Se hai delle politiche collegate alla directory principale, tali politiche si applicano immediatamente a tutti gli utenti e i ruoli dell'account creato.
Se hai [abilitato la fiducia del servizio per un altro AWS servizio](orgs_integrate_services_list.md) per la tua organizzazione, quel servizio affidabile può creare ruoli collegati al servizio o eseguire azioni in qualsiasi account membro dell'organizzazione, incluso l'account creato.
**Gli account dei membri devono attivare la ricezione di e-mail di marketing**
Gli account dei membri che crei come parte di un'organizzazione non vengono automaticamente iscritti alle e-mail AWS di marketing. Per attivare la ricezione delle e-mail di marketing per gli account, consulta [https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences).
**Gli account dei membri per le organizzazioni gestite da AWS Control Tower devono essere creati in AWS Control Tower**
Se la tua organizzazione è gestita da AWS Control Tower, ti consigliamo di creare i tuoi account membro utilizzando AWS Control Tower Account Factory nella AWS Control Tower console o utilizzando il AWS Control Tower APIs.
Se crei un account membro in Organizations quando l'organizzazione è gestita da AWS Control Tower, l'account non sarà registrato con AWS Control Tower. Per ulteriori informazioni, consulta [Riferimento alle risorse esterne a AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources) nella *Guida per l'utente di AWS Control Tower *.
## Creazione di un account membro
Dopo aver effettuato l'accesso all'account di gestione dell'organizzazione, puoi creare account membro che fanno parte della tua organizzazione.
Quando crei un account utilizzando la procedura seguente, copia AWS Organizations automaticamente le seguenti informazioni di **contatto principale** dall'account di gestione all'account del nuovo membro:
+ Numero di telefono
+ Company name (Nome dell'azienda)
+ L'URL del sito Web
+ Indirizzo
Organizations copia anche il linguaggio di comunicazione e le informazioni di Marketplace (in alcuni casi il fornitore dell'account Regioni AWS) dall'account di gestione.
**Autorizzazioni minime**
Per creare un account membro nell'organizzazione, è necessario disporre delle seguenti autorizzazioni:
`organizations:DescribeOrganization` - Obbligatorio solo quando si utilizza la console Organizations
`organizations:CreateAccount`
### Console di gestione AWS
**Per creare un Account AWS account che faccia automaticamente parte dell'organizzazione**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Nella pagina **[Account AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, scegli **Add an (Aggiungi un) Account AWS**.
1. Nella pagina **[Add an Account AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** (Aggiungi un), scegli **Create an Account AWS** (Crea un) (è selezionato per impostazione predefinita).
1. Nella pagina **[Create an Account AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** (Crea un), per **nome Account AWS ** inserisci il nome che desideri assegnare all'account. Questo nome consente di distinguere l'account da tutti gli altri account nell'organizzazione ed è separato dall'alias IAM o dal nome e-mail del proprietario.
1. Per **Email address of the account's owner (Indirizzo e-mail del proprietario dell'account)**, inserisci l'indirizzo e-mail del proprietario dell'account. Questo indirizzo e-mail non può essere già associato a un altro Account AWS perché diventa la credenziale del nome utente per l'utente root dell'account.
1. (Facoltativo) Specifica il nome da assegnare al ruolo IAM che viene automaticamente creato nel nuovo account. Questo ruolo concede l'autorizzazione dell'account di gestione dell'organizzazione per accedere all'account membro appena creato. Se non si specifica un nome, AWS Organizations assegna al ruolo un nome predefinito di`OrganizationAccountAccessRole`. Consigliamo di utilizzare il nome predefinito per tutti gli account per garantire coerenza.
**Importante**
Ricordare questo nome di ruolo. Sarà necessario in un secondo momento per concedere l'accesso al nuovo account per utenti e ruoli nell'account di gestione.
1. (Facoltativo) Nella sezione **Tag**, aggiungi uno o più tag al nuovo account scegliendo **Aggiungi tag** e inserendo una chiave e facoltativamente un valore. Lasciando vuoto il valore, questo viene impostato su una stringa vuota; non è `null`. Puoi associare fino a 50 tag a un account.
1. Scegli **Create Account AWS** (Crea).
+ Se ricevi un messaggio di errore che indica che sono stati superati la quota di account per l'organizzazione, consulta [Visualizzo un messaggio di "quota superata" quando cerco di aggiungere un account alla mia organizzazione](orgs_troubleshoot.md#troubleshoot_general_error-adding-account).
+ Se si riceverà un messaggio di errore che indica che non è possibile aggiungere un account perché l'inizializzazione dell'organizzazione è ancora in corso, attendere un'ora e riprovare.
+ Puoi anche controllare il AWS CloudTrail registro per verificare se la creazione dell'account è avvenuta con successo. Per ulteriori informazioni, consulta [Registrazione e monitoraggio AWS Organizations](orgs_security_incident-response.md).
+ Se l'errore persiste, contatta [Supporto AWS](https://console.aws.amazon.com/support/home#/).
Viene visualizzata la pagina **[Account AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** con il nuovo account aggiunto all'elenco.
1. Ora che l'account esiste e ha un ruolo IAM che concede l'accesso di amministratore agli utenti nell'account di gestione, è possibile accedere all'account seguendo le fasi in [Accesso agli account dei membri in un'organizzazione con AWS Organizations](orgs_manage_accounts_access.md).
### AWS CLI & AWS SDKs
Gli esempi di codice seguenti mostrano come utilizzare `CreateAccount`.
------
#### [ .NET ]
**SDK per .NET**
C'è di più su GitHub. Trova l'esempio completo e scopri di più sulla configurazione e l'esecuzione nel [Repository di esempi di codice AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples).
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new AWS Organizations account.
///
public class CreateAccount
{
///
/// Initializes an Organizations client object and uses it to create
/// the new account with the name specified in accountName.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var accountName = "ExampleAccount";
var email = "someone@example.com";
var request = new CreateAccountRequest
{
AccountName = accountName,
Email = email,
};
var response = await client.CreateAccountAsync(request);
var status = response.CreateAccountStatus;
Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
}
}
```
+ Per i dettagli sull'API, consulta la [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)sezione *AWS SDK per .NET API Reference*.
------
#### [ CLI ]
**AWS CLI**
**Come creare un account membro automaticamente appartenente all’organizzazione**
L’esempio seguente mostra come creare un account membro in un’organizzazione. L’account membro è configurato con il nome Production Account e l’indirizzo e-mail susan@example.com. Organizations crea automaticamente un ruolo IAM utilizzando il nome predefinito di OrganizationAccountAccessRole perché il parametro RoleName non è specificato. Inoltre, l'impostazione che consente agli utenti o ai ruoli IAM con autorizzazioni sufficienti di accedere ai dati di fatturazione dell'account viene impostata sul valore predefinito di ALLOW perché il IamUserAccessToBilling parametro non è specificato. Organizations invia automaticamente a Susan un'e-mail di «Benvenuto a AWS»:
```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
L’output include un oggetto richiesta che mostra che lo stato è `IN_PROGRESS`:
```
{
"CreateAccountStatus": {
"State": "IN_PROGRESS",
"Id": "car-examplecreateaccountrequestid111"
}
}
```
Successivamente è possibile interrogare lo stato corrente della richiesta fornendo il valore di risposta Id al describe-create-account-status comando come valore per il create-account-request-id parametro.
Per ulteriori informazioni, consulta Creare un AWS account nella tua organizzazione nella *AWS Organizations Users Guide*.
+ Per i dettagli sull'API, consulta [CreateAccount AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)*Command Reference*.
------
# Accesso agli account dei membri in un'organizzazione con AWS Organizations
Quando crei un account nell'organizzazione, oltre all'utente root, AWS Organizations crea automaticamente un ruolo IAM denominato per impostazione predefinita `OrganizationAccountAccessRole`. Puoi specificare un nome diverso al momento della creazione, tuttavia ti consigliamo di assegnarlo in modo uniforme in tutti gli account. AWS Organizations non crea altri utenti o ruoli.
Per accedere all'account nell'organizzazione, è necessario utilizzare uno dei seguenti metodi:
**Autorizzazioni minime**
Per accedere a un account Account AWS da qualsiasi altro account della tua organizzazione, devi disporre delle seguenti autorizzazioni:
`sts:AssumeRole` - L'elemento `Resource` deve essere impostato su un asterisco (\$1) o sul numero di ID dell'account per l'account con l'utente che deve accedere al nuovo account membro
------
#### [ Using the root user (Not recommended for everyday tasks) ]
Quando crei un nuovo account membro nella tua organizzazione, per impostazione predefinita l'account non ha credenziali utente root. Gli account membri non possono accedere al proprio utente root o eseguirne il recupero della password a meno che non sia abilitato il recupero dell'account.
È possibile [centralizzare l'accesso root per gli account dei membri per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html) rimuovere le credenziali dell'utente root per gli account membro esistenti nell'organizzazione. L'eliminazione delle credenziali dell'utente root rimuove la password dell'utente root, le chiavi di accesso, i certificati di firma e disattiva l'autenticazione a più fattori (MFA). Questi account membri non dispongono di credenziali dell'utente root, non possono accedere come utente root e non possono recuperare la password dell'utente root. Per impostazione predefinita, i nuovi account creati in Organizations non hanno credenziali dell'utente root.
Rivolgiti all'amministratore se devi eseguire un'operazione che richiede le credenziali dell'utente root su un account membro in cui non sono presenti le credenziali dell'utente root.
Per accedere al proprio account membro come utente root, è necessario eseguire la procedura di recupero della password. Per ulteriori informazioni, consulta [Ho dimenticato la mia password utente root Account AWS nella Guida per](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) l'*utente di AWS accesso*.
Se devi accedere a un account membro utilizzando l'utente root, segui queste best practice:
+ Non utilizzare l'utente root per accedere al tuo account se non per creare altri utenti e ruoli con autorizzazioni più limitate. Quindi accedi come uno di questi utenti o questi ruoli.
+ [Abilita l'autenticazione a più fattori (MFA) sull'](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa)utente root. Reimposta la password e [assegna un dispositivo MFA all'utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).
Per un elenco completo delle attività che richiedono l’accesso come utente root, consulta la sezione [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*. Per ulteriori consigli sulla sicurezza degli utenti root, consulta le [migliori pratiche per l'utente root Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) nella *IAM User Guide*.
------
#### [ Using trusted access for IAM Identity Center ]
Utilizza [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)e abilita l'accesso affidabile per IAM Identity Center con AWS Organizations. Ciò consente agli utenti di accedere al portale di AWS accesso con le proprie credenziali aziendali e accedere alle risorse nell'account di gestione assegnato o negli account membro.
Per ulteriori informazioni, consulta [Autorizzazioni multi-account](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) nella *Guida per l'utente di AWS IAM Identity Center .* Per ulteriori informazioni su come configurare l'accesso sicuro a IAM Identity Center, consulta [AWS IAM Identity Center e AWS Organizations](services-that-can-integrate-sso.md).
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
Se si crea un account utilizzando gli strumenti forniti come parte di AWS Organizations, è possibile accedere all'account utilizzando il ruolo preconfigurato denominato `OrganizationAccountAccessRole` che esiste in tutti i nuovi account creati in questo modo. Per ulteriori informazioni, consulta [Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Se inviti un account esistente a far parte dell'organizzazione e l'account accetta l'invito, puoi scegliere di creare un ruolo IAM che consente all'account di gestione di accedere all'account membro invitato. Si presume che questo ruolo sia identico al ruolo aggiunto automaticamente a un account creato con AWS Organizations.
Per creare questo ruolo, consulta [Creazione OrganizationAccountAccessRole di un account invitato con AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Una volta creato il ruolo, è possibile accedervi tramite le fasi in [Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
------
**Topics**
+ [Creazione di un ruolo di accesso IAM](orgs_manage_accounts_create-cross-account-role.md)
+ [Utilizzo del ruolo di accesso IAM](orgs_manage_accounts_access-cross-account-role.md)
# Creazione OrganizationAccountAccessRole di un account invitato con AWS Organizations
Per impostazione predefinita, se crei un account membro come parte dell'organizzazione, AWS crea automaticamente un ruolo nell'account che concede le autorizzazioni di amministratore agli utenti IAM delegati nell'account di gestione. Per impostazione predefinita, tale ruolo è denominato `OrganizationAccountAccessRole`. Per ulteriori informazioni, consulta [Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Tuttavia, gli account membro *invitati* a far parte dell'organizzazione ***non*** ottengono automaticamente un ruolo amministratore creato. È necessario eseguire questa operazione manualmente, come illustrato nella procedura seguente. Essenzialmente, in questo modo viene duplicato il ruoto automaticamente configurato per gli account creati. Consigliamo di utilizzare lo stesso nome, `OrganizationAccountAccessRole`, per i ruoli creati manualmente per coerenza e facilità di memorizzazione.
------
#### [ Console di gestione AWS ]
**Per creare un ruolo di AWS Organizations amministratore in un account membro**
1. Accedi alla console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account membro. L'utente o il ruolo devono avere autorizzazioni per creare i ruoli e le policy IAM.
1. Nella console IAM, accedi a **Ruoli** e quindi scegli **Crea ruolo**.
1. Scegli **Account AWS**, quindi seleziona **Altro Account AWS**.
1. Inserisci il numero ID dell'account a 12 cifre dell'account di gestione a cui desideri concedere l'accesso come amministratore. In **Opzioni**, tieni presente quanto segue:
+ Per questo ruolo, poiché gli account sono interni all'azienda, **non** è necessario scegliere **Require external ID (Richiedi ID esterno)**. Per ulteriori informazioni sull'opzione ID esterno, vedi [Quando devo usare un ID esterno?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) nella *Guida per l'utente IAM*.
+ Se l'MFA è abilitata e configurata, è possibile scegliere di richiedere l'autenticazione utilizzando un dispositivo MFA. *Per ulteriori informazioni sulla MFA, consulta [Using Multi-Factor Authentication (MFA) AWS nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) IAM User Guide.*
1. Scegli **Next (Successivo)**.
1. **Nella pagina **Aggiungi autorizzazioni**, scegli la policy AWS gestita denominata, quindi scegli `AdministratorAccess` Avanti.**
1. Nella pagina **Nome, revisione e creazione,** specifica un nome di ruolo e una descrizione facoltativa. Consigliamo di utilizzare `OrganizationAccountAccessRole`, per coerenza con il nome predefinito assegnato al ruolo nei nuovi account. Per rendere effettive le modifiche, scegliere **Create role (Crea ruolo)**.
1. Il nuovo ruolo viene visualizzato nell'elenco di ruoli disponibili. Scegli il nome del nuovo ruolo per visualizzare i dettagli, facendo particolare attenzione all'URL del link che viene fornito. Assegnare questo URL agli utenti nell'account membro che deve accedere al ruolo. Inoltre, prendere nota del **Role ARN (ARN ruolo)** perché sarà necessario nella fase 15.
1. Accedi alla console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). A questo punto, accedi come utente nell'account di gestione che dispone delle autorizzazioni per creare policy e assegnare le policy a utenti o gruppi.
1. Passa a **Politiche**, quindi seleziona **Crea policy**.
1. In **Service (Servizio)**, scegliere **STS**.
1. In **Azioni**, iniziare a digitare **AssumeRole** nella casella **Filtro** e quindi selezionare la casella di controllo accanto quando viene visualizzata.
1. In **Risorse**, assicurati che sia selezionato **Specifico**, quindi scegli **Aggiungi ARNs**.
1. Inserisci il numero ID dell'account AWS membro, quindi inserisci il nome del ruolo creato in precedenza nei passaggi da 1 a 8. Scegliere **Aggiungi ARNs**.
1. Se si concede l'autorizzazione per assumere il ruolo in più account membri, ripetere le fasi 14 e 15 per ogni account.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rivedi e crea**, inserisci un nome per la nuova politica, quindi scegli **Crea politica** per salvare le modifiche.
1. Scegli **Gruppi di utenti** nel riquadro di navigazione, quindi scegli il nome del gruppo (non la casella di controllo) che desideri utilizzare per delegare l'amministrazione dell'account membro.
1. Scegli la scheda **Autorizzazioni**.
1. Scegli **Aggiungi autorizzazioni**, scegli **Allega politiche**, quindi seleziona la politica che hai creato nei passaggi 11—18.
------
Gli utenti che sono membri del gruppo selezionato ora possono utilizzare URLs quello acquisito nel passaggio 9 per accedere al ruolo di ciascun account membro. Possono accedere a questi account membri esattamente come se accedessero a un account creato nell'organizzazione. Per ulteriori informazioni su come utilizzare il ruolo per amministrare un account membro, consulta [Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
# Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations
Quando crei un account membro utilizzando la AWS Organizations console, crea AWS Organizations *automaticamente* un ruolo IAM denominato `OrganizationAccountAccessRole` nell'account. Questo ruolo dispone di autorizzazioni amministrative complete nell'account membro. L'ambito di accesso per questo ruolo include tutti i principali nell'account di gestione, in modo che sia in grado di concedere l'accesso all'account di gestione dell'organizzazione.
È possibile creare un ruolo identico per un account membro invitato seguendo le fasi indicate in [Creazione OrganizationAccountAccessRole di un account invitato con AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Per utilizzare questo ruolo per accedere all'account membro, è necessario accedere come utente dall'account di gestione che dispone delle autorizzazioni per assumere il ruolo. Per configurare queste autorizzazioni, eseguire la procedura seguente. Consigliamo di concedere le autorizzazioni ai gruppi anziché agli utenti per semplificare la manutenzione.
------
#### [ Console di gestione AWS ]
**Per concedere autorizzazioni ai membri di un gruppo IAM nell'account di gestione per accedere al ruolo (console)**
1. Accedi alla console IAM [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)come utente con autorizzazioni di amministratore nell'account di gestione. Questo passaggio è obbligatorio per delegare le autorizzazioni al gruppo IAM i cui utenti potranno accedere al ruolo nell'account membro.
1. Iniziare creando le policy gestite necessarie in seguito in [Step 14](#step-choose-group).
Nel pannello di navigazione, seleziona **Policy** e **Crea policy**.
1. Nella scheda Visual editor, scegli **Scegli un servizio**, inserisci **STS** nella casella di ricerca per filtrare l'elenco, quindi scegli l'opzione **STS**.
1. Nella sezione **Azioni**, inserisci **assume** nella casella di ricerca per filtrare l'elenco, quindi scegli l'**AssumeRole**opzione.
1. Nella sezione **Risorse**, scegli **Specifico**, scegli **Aggiungi ARNs**
1. Nella sezione **Specificare ARN**, scegli **Altro account** per la risorsa in.
1. Inserisci l'ID dell'account membro che hai appena creato
1. Per **Nome ruolo di risorsa con percorso**, inserisci il nome del ruolo che hai creato nella sezione precedente (ti consigliamo di assegnargli un nome`OrganizationAccountAccessRole`).
1. **Scegliete Aggiungi ARNs** quando nella finestra di dialogo viene visualizzato l'ARN corretto.
1. (Opzionale) Se si desidera richiedere Multi-Factor Authentication (MFA) o limitare l'accesso al ruolo da un intervallo di indirizzi IP specificato, espandere la sezione Condizioni di richiesta e selezionare le opzioni che si desidera applicare.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rivedi e crea**, inserisci un nome per la nuova politica. Ad esempio: **GrantAccessToOrganizationAccountAccessRole**. Puoi anche aggiungere una descrizione opzionale.
1. Selezionare **Crea policy** per salvare la nuova policy gestita.
1. Ora che la policy è disponibile, è possibile collegarla a un gruppo.
Nel riquadro di navigazione, scegli **Gruppi di utenti**, quindi scegli il nome del gruppo (non la casella di controllo) i cui membri desideri che assumano il ruolo nell'account membro. Se necessario, è possibile creare un nuovo gruppo.
1. Nella scheda **Permissions** (Autorizzazioni), scegli **Add permissions** (Aggiungi autorizzazioni), quindi **Attach policies** (Collega policy).
1. (Opzionale) Nella casella **Cerca** è possibile iniziare a digitare il nome della policy per filtrare l'elenco finché non viene visualizzato il nome della policy appena creata in [Step 2](#step-create-policy) tramite [Step 13](#step-end-policy). Puoi anche filtrare tutte le politiche AWS gestite scegliendo **Tutti i tipi** e quindi scegliendo **Gestito dal cliente**.
1. Seleziona la casella accanto alla tua politica, quindi scegli **Allega politiche**.
------
Gli utenti IAM che sono membri del gruppo ora dispongono delle autorizzazioni per passare al nuovo ruolo nella AWS Organizations console utilizzando la seguente procedura.
------
#### [ Console di gestione AWS ]
**Per passare al ruolo per l'account membro**
Quando si utilizza il ruolo, l'utente dispone di autorizzazioni di amministratore nel nuovo account membro. Spiega agli utenti IAM che sono membri del gruppo di eseguire le seguenti operazioni per passare al nuovo ruolo.
1. **Dall'angolo in alto a destra della AWS Organizations console, scegli il link che contiene il nome di accesso corrente, quindi scegli Cambia ruolo.**
1. Inserire il numero di ID dell'account fornito dall'amministratore e il nome del ruolo.
1. In **Display Name (Nome visualizzazione)**, inserire il testo che si desidera visualizzare sulla barra di navigazione nell'angolo in alto a destra al posto dell'attuale nome utente mentre si sta utilizzando il ruolo. È anche possibile scegliere un colore.
1. Seleziona **Switch Role** (Cambia ruolo). Ora tutte le azioni eseguite vengono effettuate con le autorizzazioni concesse al ruolo a cui si è passati. Non sono più disponibili le autorizzazioni associate all'utente IAM originale finché non si cambia nuovamente questa opzione.
1. Una volta completata l'esecuzione delle operazioni che richiedono le autorizzazioni del ruolo, è possibile tornare all'utente IAM normale. **Scegli il nome del ruolo nell'angolo in alto a destra (qualunque cosa tu abbia specificato come **nome visualizzato**), quindi scegli Torna a. *UserName***
------
# Chiusura di un account membro in un'organizzazione con AWS Organizations
Se non hai più bisogno di un account membro nella tua organizzazione, puoi chiuderlo dalla [AWS Organizations console](https://console.aws.amazon.com/organizations/v2) seguendo le istruzioni riportate in questo argomento. Puoi chiudere un account membro utilizzando la AWS Organizations console solo se l'organizzazione è in modalità [Tutte le funzionalità](orgs_getting-started_concepts.md#feature-set-all).
Puoi anche chiuderlo Account AWS direttamente dalla [pagina **Account**](https://console.aws.amazon.com/billing/home#/account) Console di gestione AWS dopo aver effettuato l'accesso come utente root. Per step-by-step istruzioni, consulta [Close an Account AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) nella *Guida alla gestione AWS dell'account*.
Per chiudere un account di gestione, consulta[Chiusura di un account di gestione nell'organizzazione](orgs_manage_accounts_close_management.md).
## Chiudere un account membro
Una volta effettuato l'accesso all'account di gestione dell'organizzazione, è possibile chiudere gli account membri che fanno parte dell'organizzazione. Per farlo, completa le seguenti fasi.
**Importante**
Prima di chiudere il tuo account membro, ti consigliamo vivamente di esaminare le considerazioni e comprendere l'impatto della chiusura di un account. Per ulteriori informazioni, consulta [Cosa devi sapere prima di chiudere l'account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) e [Cosa aspettarti dopo la chiusura dell'account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) nella *Guida alla gestione dell'AWS account*.
------
#### [ AWS Management Console ]
**Per chiudere un account membro dalla AWS Organizations console**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Devi accedere come utente IAM o accedere come utente root (scelta [non consigliata](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Nella pagina **[Account AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, individua e seleziona il nome dell'account membro che desideri chiudere. È possibile spostarsi nella gerarchia delle unità organizzative o visualizzare un elenco dei soli account senza la struttura dell'unità organizzativa.
1. Scegli **Close** (Chiudi) accanto al nome dell'account nella parte superiore della pagina. Questa opzione è disponibile solo quando un' AWS organizzazione è in modalità [Tutte le funzionalità](orgs_getting-started_concepts.md#feature-set-all).
**Nota**
Se l'organizzazione utilizza la modalità di [fatturazione consolidata](orgs_getting-started_concepts.md#feature-set-cb-only), non sarà possibile visualizzare il pulsante **Chiudi** nella console. Per chiudere un account in modalità di fatturazione consolidata, accedi all'account che desideri chiudere come utente root. Nella pagina **Account**, scegli il pulsante **Chiudi account**, inserisci l'ID dell'account, quindi scegli il pulsante **Chiudi account**.
1. Leggi e assicurati di aver compreso le istruzioni per la chiusura dell'account.
1. Inserisci l'ID dell'account membro, quindi scegli **Chiudi account**.
**Nota**
Qualsiasi account membro che chiudi mostrerà un'`CLOSED`etichetta accanto al nome dell'account nella AWS Organizations console per un massimo di 90 giorni dopo la data di chiusura originale. Dopo 90 giorni, l'account del membro verrà chiuso definitivamente e non verrà più visualizzato nella AWS Organizations console. Tieni presente che potrebbero essere necessari alcuni giorni prima che l'account venga rimosso dall'organizzazione dopo la chiusura definitiva.
**Per chiudere un account membro dalla pagina Account**
Facoltativamente, puoi chiudere un account AWS membro direttamente dalla pagina **Account** di. Console di gestione AWS Per ulteriori step-by-step informazioni, segui le istruzioni riportate in [Chiudi](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) e Account AWS nella *Guida alla gestione AWS dell'account*.
------
#### [ AWS CLI & AWS SDKs ]
**Per chiudere un Account AWS**
Per chiudere un account AWS , puoi utilizzare uno dei seguenti comandi:
+ AWS CLI: [close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)
```
$ aws organizations close-account \
--account-id 123456789012
```
Questo comando non produce alcun output se ha esito positivo.
+ AWS SDKs: [CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)
------
# Protezione degli account dei membri dalla chiusura con AWS Organizations
Per proteggere gli account dei membri dalla chiusura accidentale, crea una policy IAM che specifichi quali account sono esenti. Questa politica impedisce la chiusura degli account dei membri protetti.
Crea una policy IAM per negare la chiusura dell'account utilizzando uno di questi metodi:
+ Elenca esplicitamente gli account protetti nell'`Resource`elemento della policy utilizzando il loro. ARNs
+ Etichetta i singoli account e utilizza la chiave di condizione `aws:ResourceTag` globale per impedire la chiusura degli account taggati.
**Nota**
Le politiche di controllo dei servizi (SCPs) non influiscono sui principi IAM nell'account di gestione.
## Esempio di policy IAM che impediscono la chiusura di un account membro
I seguenti esempi di codice mostrano due diversi metodi che è possibile utilizzare per impedire agli account dei membri di chiudere i propri account.
------
#### [ Prevent member accounts with tags from getting closed ]
Puoi associare la seguente policy a un'identità nell'account di gestione. Questa policy impedisce ai principali nell'account di gestione di chiudere qualsiasi account membro contrassegnato con la chiave di condizione globale del tag `aws:ResourceTag`, la chiave `AccountType` e il valore di tag `Critical`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccountForTaggedAccts",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
}
}
]
}
```
------
#### [ Prevent member accounts listed in this policy from getting closed ]
Puoi associare la seguente policy a un'identità nell'account di gestione. Questa policy impedisce ai principali nell'account di gestione di chiudere gli account membri esplicitamente specificati nell'elemento `Resource`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccount",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": [
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
]
}
]
}
```
------
# Rimuovere un account membro da un'organizzazione con AWS Organizations
La rimozione di un account membro non chiude l'account, ma lo rimuove dall'organizzazione. L'account precedente diventa un account autonomo Account AWS che non è più gestito da AWS Organizations.
Successivamente, l'account non è più soggetto ad alcuna policy ed è responsabile del pagamento delle proprie fatture. All'account di gestione dell'organizzazione non vengono più addebitate le spese sostenute dall'account dopo la rimozione dall'organizzazione.
## Considerazioni
**I ruoli di accesso IAM creati dall'account di gestione non vengono eliminati automaticamente**
Quando rimuovi un account membro dall'organizzazione, qualsiasi ruolo IAM creato per consentire l'accesso da parte dell'account di gestione dell'organizzazione non viene eliminato automaticamente. Se desideri terminare l'accesso dall'account di gestione dell'organizzazione precedente, è necessario eliminare manualmente il ruolo IAM. Per informazioni sull'eliminazione di un ruolo, consulta [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.
**Puoi rimuovere un account dalla tua organizzazione solo se l'account dispone delle informazioni necessarie per funzionare come account autonomo**
È possibile rimuovere un account dall'organizzazione solo se l'account dispone delle informazioni richieste per operare come account standalone. Quando crei un account in un'organizzazione utilizzando la AWS Organizations console, l'API o AWS CLI i comandi, tutte le informazioni richieste per gli account autonomi *non* vengono raccolte automaticamente.
Per ogni account che desideri rendere indipendente, devi scegliere un piano di supporto, fornire e verificare le informazioni di contatto richieste e fornire un metodo di pagamento corrente. AWS utilizza il metodo di pagamento per addebitare qualsiasi AWS attività fatturabile (non del piano AWS gratuito) che si verifica quando l'account non è collegato a un'organizzazione. Per rimuovere un account che non dispone ancora di queste informazioni, completa le operazioni riportate in [Uscire da un'organizzazione da un account membro con AWS Organizations](orgs_manage_accounts_leave-as-member.md).
**Devi attendere almeno quattro giorni dopo la creazione dell'account**
Per rimuovere un account creato nell'organizzazione, è necessario attendere almeno quattro giorni dalla creazione dell'account. Gli account invitati non sono soggetti a questo tempo di attesa.
**Il proprietario dell'account che esce diventa responsabile di tutti i nuovi costi maturati**
Nel momento in cui l'account lascia con successo l'organizzazione, il proprietario dell'account Account AWS diventa responsabile di tutti i nuovi AWS costi maturati e viene utilizzato il metodo di pagamento dell'account. L'account di gestione dell'organizzazione non è più responsabile.
**L'account non può essere un account amministratore delegato per alcun AWS servizio abilitato per l'organizzazione**
L'account che desideri rimuovere non deve essere un account amministratore delegato per alcun AWS servizio abilitato per l'organizzazione. Se l'account è un amministratore delegato, devi prima modificare l'account di amministratore delegato in un altro account che rimane nell'organizzazione. Per ulteriori informazioni su come disabilitare o modificare l'account di amministratore delegato per un AWS servizio, consulta la documentazione relativa al servizio.
**L'account non ha più accesso ai dati sui costi e sull'utilizzo**
Quando un account membro non fa più parte dell'organizzazione, non ha più accesso ai dati su costi e utilizzo relativi all'intervallo di tempo in cui l'account era membro dell'organizzazione. Tuttavia, l'account di gestione dell'organizzazione può comunque accedere ai dati. Se l'account torna a far parte dell'organizzazione, potrà accedere di nuovo a tali dati.
**I tag allegati all'account vengono eliminati**
Quando un account membro lascia un'organizzazione, tutti i tag associati all'account vengono eliminati.
**I responsabili dell'account non sono più influenzati dalle politiche dell'organizzazione**
I principali nell'account non sono più interessati da alcuna [policy](orgs_manage_policies.md) applicata nell'organizzazione. Ciò significa che le restrizioni imposte da SCPs sono scomparse e gli utenti e i ruoli dell'account potrebbero avere più autorizzazioni rispetto a prima. Altri tipi di policy dell'organizzazione non possono più essere applicati o elaborati.
**L'account non è più coperto da accordi organizzativi**
Se un account membro viene rimosso da un'organizzazione, non sarà più coperto dagli accordi dell'organizzazione. Prima della rimozione, gli amministratori degli account di gestione devono avvertire gli account membri che saranno rimossi dall'organizzazione, per consentire loro di attivare nuovi accordi se necessario. Un elenco degli accordi organizzativi attivi può essere visualizzato nella AWS Artifact console nella pagina [AWS Artifact Organization Agreements](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements).
**L'integrazione con altri servizi potrebbe essere disabilitata**
L'integrazione con altri servizi potrebbe essere disabilitata. Se rimuovi un account da un'organizzazione in cui è abilitata l'integrazione con un AWS servizio, gli utenti di quell'account non possono più utilizzare quel servizio.
## Rimuovere un account membro da un'organizzazione
Quando effettui l'accesso all'account di gestione dell'organizzazione, è possibile rimuovere gli account membri non più necessari dall'organizzazione. Per farlo, completare la seguente procedura. Questa procedura si applica solo agli account membro. Per rimuovere l'account di gestione, è necessario [eliminare l'organizzazione](orgs_manage_org_delete.md).
**Autorizzazioni minime**
Per rimuovere uno o più account membri dall'organizzazione, è necessario effettuare l'accesso come utente o ruolo nell'account di gestione con le seguenti autorizzazioni:
`organizations:DescribeOrganization` - Obbligatorio solo quando si utilizza la console Organizations
`organizations:RemoveAccountFromOrganization`
Se scegli di accedere come utente o ruolo in un account membro nel passaggio 5, tale utente o tale ruolo deve disporre delle seguenti autorizzazioni:
`organizations:DescribeOrganization` - Obbligatorio solo quando si utilizza la console Organizations.
`organizations:LeaveOrganization` - Tieni presente che l'amministratore dell'organizzazione può applicare una policy all'account che rimuove questa autorizzazione, impedendoti di rimuovere l'account dall'organizzazione.
Se accedi come utente IAM e l'account non dispone di informazioni di pagamento, l'utente deve disporre delle autorizzazioni `aws-portal:ModifyBilling` e `aws-portal:ModifyPaymentMethods` (se l'account non è ancora migrato alle autorizzazioni granulari) oppure delle autorizzazioni `payments:CreatePaymentInstrument` e `payments:UpdatePaymentPreferences` (se l'account è migrato alle autorizzazioni granulari). Inoltre, per l'account membro deve essere abilitato l'accesso utente IAM alla fatturazione. Se non è già abilitato, consulta [Attivazione dell'accesso alla console Gestione fatturazione e costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) nella *Guida per l'utente di AWS Billing *.
------
#### [ Console di gestione AWS ]
**Per rimuovere un account membro dall'organizzazione**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Nella pagina **[Account AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, individua e seleziona la casella di controllo ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/images/checkbox-selected.png) accanto all'account membro che desideri rimuovere dall'organizzazione. È possibile navigare nella gerarchia delle unità organizzative o abilitare **Visualizza Account AWS solo per visualizzare** un elenco semplice di account senza la struttura delle unità organizzative. Se hai molti account, potresti dover scegliere **Load more accounts (Carica più account) in '*nome-UO*'** nella parte inferiore dell'elenco per trovare tutti gli oggetti da spostare.
Nella pagina **[Account AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, individua e seleziona il nome dell'account membro che desideri rimuovere dall'organizzazione. Potrebbe essere necessario espandere OUs (scegliere il![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/images/console-expand.png)) per trovare l'account desiderato.
1. Scegli **Actions (Operazioni)**, quindi in **Account AWS** scegli **Remove from organization (Rimuovi dall'organizzazione)**.
1. Nella sezione **Rimuovere l'account '*nome-account*' (\$1 *account-id-num*) dall'organizzazione**? nella finestra di dialogo, scegli **Rimuovi** account.
1. Se AWS Organizations non riesci a rimuovere uno o più account, in genere è perché non hai fornito tutte le informazioni necessarie affinché l'account funzioni come account autonomo. Esegui queste fasi:
1. Accedi agli account con esito negativo. Consigliamo di accedere all'account utente scegliendo **Copy link (Copia link)** e quindi incollandolo nella barra degli indirizzi di una nuova finestra del browser in incognito. Se non vedi il **link Copia**, usa [questo link](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) per andare alla AWS pagina di **registrazione** e completare i passaggi di registrazione mancanti. Se non utilizzi una finestra di navigazione in incognito, viene effettuata la disconnessione dell'account di gestione e non sarà possibile tornare a questa finestra di dialogo.
1. Il browser reindirizza direttamente alla procedura di accesso per completare eventuali fasi mancanti per questo account. Completare tutte le fasi presentate. Queste possono includere quanto segue:
+ Fornisci informazioni di contatto
+ Fornire un metodo di pagamento valido
+ Verificare il numero di telefono
+ Selezionare un'opzione di piano di supporto
1. Dopo aver completato l'ultima fase di registrazione, reindirizza AWS automaticamente il browser alla AWS Organizations console dell'account membro. Scegliere **Lascia l'organizzazione** e quindi confermare la scelta nella finestra di dialogo di conferma. Viene effettuato il reindirizzamento alla pagina **Getting Started (Nozioni di base)** della console AWS Organizations , in cui è possibile visualizzare eventuali inviti in sospeso dell'account per far parte di altre organizzazioni.
1. Rimuovi i ruoli IAM che concedono l'accesso all'account dall'organizzazione.
**Importante**
Se l'account è stato creato nell'organizzazione, Organizations crea automaticamente un ruolo IAM nell'account che abilita l'accesso dall'account di gestione dell'organizzazione. Se l'account è stato invitato a unirsi, Organizations non crea automaticamente un tale ruolo, ma è possibile che uno sia stato creato dall'utente o da un altro amministratore per ottenere gli stessi vantaggi. In entrambi i casi, quando si rimuove l'account dall'organizzazione, tale ruolo non viene eliminato automaticamente. Se desideri terminare l'accesso dall'account di gestione dell'organizzazione precedente, è necessario eliminare manualmente questo ruolo IAM. Per informazioni sull'eliminazione di un ruolo, consulta [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.
------
#### [ AWS CLI & AWS SDKs ]
**Per rimuovere un account membro dall'organizzazione**
È possibile utilizzare uno dei seguenti comandi per rimuovere un account membro:
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)
```
$ aws organizations remove-account-from-organization \
--account-id 123456789012
```
Questo comando non produce alcun output se ha esito positivo.
+ AWS SDKs: [RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)
Dopo la rimozione dell'account membro dall'organizzazione, assicurati di rimuovere i ruoli IAM che concedono l'accesso all'account dall'organizzazione.
**Importante**
Se l'account è stato creato nell'organizzazione, Organizations crea automaticamente un ruolo IAM nell'account che abilita l'accesso dall'account di gestione dell'organizzazione. Se l'account è stato invitato a unirsi, Organizations non crea automaticamente un tale ruolo, ma è possibile che uno sia stato creato dall'utente o da un altro amministratore per ottenere gli stessi vantaggi. In entrambi i casi, quando si rimuove l'account dall'organizzazione, tale ruolo non viene eliminato automaticamente. Se desideri terminare l'accesso dall'account di gestione dell'organizzazione precedente, è necessario eliminare manualmente questo ruolo IAM. Per informazioni sull'eliminazione di un ruolo, consulta [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.
Gli account membro possono invece rimuovere se stessi con [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html). Per ulteriori informazioni, consulta [Uscire da un'organizzazione da un account membro con AWS Organizations](orgs_manage_accounts_leave-as-member.md).
------
# Uscire da un'organizzazione da un account membro con AWS Organizations
Quando accedi a un account membro, puoi lasciare un'organizzazione. L'account di gestione non è in grado di lasciare l'organizzazione utilizzando questa tecnica. Per rimuovere l'account di gestione, è necessario [eliminare l'organizzazione](orgs_manage_org_delete.md).
## Considerazioni
**Lo stato di un account presso un'organizzazione influisce sui dati visibili su costi e utilizzo**
Gli account mantengono l'accesso a tutte le fatture inviate in passato e a tutti i dati sulle fatture da essi generati, indipendentemente dalle modifiche all'iscrizione all'organizzazione. Tuttavia, la visibilità dei dati di Cost Explorer è legata all'appartenenza attuale delle organizzazioni. La tabella seguente mostra come tre transizioni di account comuni influiscono sulla visibilità dei dati:
****
| | Disponibilità delle fatture | Disponibilità delle fatture (ad esempio, pagina Fatture) | Disponibilità di Cost Explorer |
| --- | --- | --- | --- |
| Scenario 1L'account membro lascia l'organizzazione A e diventa un account autonomo | L'account mantiene l'accesso a tutte le fatture storiche che gli sono state consegnate. | L'account mantiene l'accesso a tutti i dati storici delle fatture generati come membro di OrganizationA. | L'account perde l'accesso ai dati storici sui costi e sull'utilizzo generati come membro di OrganizationA. |
| Scenario 2L'account del socio lascia l'organizzazione A e si unisce all'organizzazione B | L'account mantiene l'accesso a tutte le fatture storiche che gli sono state consegnate. | L'account mantiene l'accesso a tutti i dati storici delle fatture generati come membro di OrganizationA. | L'account perde l'accesso ai dati storici sui costi e sull'utilizzo generati come membro di OrganizationA. |
| Scenario 3L'account si ricongiunge a un'organizzazione a cui apparteneva in precedenza | L'account mantiene l'accesso a tutte le fatture storiche che gli sono state consegnate. | L'account mantiene l'accesso a tutti i dati storici delle fatture che ha generato (indipendentemente dal fatto che siano stati generati come account autonomo o come membro di un'altra organizzazione). | L'account riottiene l'accesso ai dati sui costi e sull'utilizzo per l'intero periodo in cui è stato membro dell'organizzazione, ma perde l'accesso a tutti i costi e l'utilizzo storici generati al di fuori dell'organizzazione attuale. |
**L'account non è più coperto dagli accordi organizzativi che sono stati accettati per suo conto**
Se lasci un'organizzazione, non sarà più effettiva la copertura degli accordi dell'organizzazione accettati per tuo conto dall'account di gestione dell'organizzazione. È possibile visualizzare un elenco di questi accordi organizzativi nella AWS Artifact console nella pagina [AWS Artifact Organization Agreements](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements). Prima di lasciare l'organizzazione, dovresti determinare (con l'assistenza dei tuoi team legali, sulla privacy o di conformità, ove appropriato) se è necessario per te avere nuovi contratti in atto.
**I limiti di quota dell'account possono cambiare e avere un impatto**
Lasciare un'organizzazione come account membro può influire sui limiti delle quote di servizio disponibili per quell'account. Se disponi di carichi di lavoro automatizzati che richiedono limiti più elevati, rivedi le quote nella console di service quote dopo aver lasciato l'organizzazione per garantire un'esperienza senza interruzioni. Contatta [Supporto AWS Center](https://console.aws.amazon.com/support/home#/) dopo aver lasciato l'organizzazione per ricevere assistenza.
## Abbandona un'organizzazione da un account membro
Per lasciare un'organizzazione, completare la procedura seguente.
**Autorizzazioni minime**
Per lasciare un'organizzazione , è necessario disporre delle seguenti autorizzazioni:
`organizations:DescribeOrganization` - Obbligatorio solo quando si utilizza la console Organizations.
`organizations:LeaveOrganization` - Tieni presente che l'amministratore dell'organizzazione può applicare una policy all'account che rimuove questa autorizzazione, impedendoti di rimuovere l'account dall'organizzazione.
Se accedi come utente IAM e l'account non dispone di informazioni di pagamento, l'utente deve disporre delle autorizzazioni `aws-portal:ModifyBilling` e `aws-portal:ModifyPaymentMethods` (se l'account non è ancora migrato alle autorizzazioni granulari) oppure delle autorizzazioni `payments:CreatePaymentInstrument` e `payments:UpdatePaymentPreferences` (se l'account è migrato alle autorizzazioni granulari). Inoltre, per l'account membro deve essere abilitato l'accesso utente IAM alla fatturazione. Se non è già abilitato, consulta [Attivazione dell'accesso alla console Gestione fatturazione e costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) nella *Guida per l'utente di AWS Billing *.
------
#### [ Console di gestione AWS ]
**Per abbandonare un'organizzazione dall'account membro**
1. Accedi alla AWS Organizations console all'indirizzo [AWS Organizations console](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) in un account membro.
Per impostazione predefinita, non hai accesso alla password dell'utente root in un account membro creato utilizzando AWS Organizations. Se necessario, recupera la password dell'utente root seguendo la procedura descritta in **Utilizzo dell'utente root (opzione non consigliata per le attività quotidiane)** in[Accesso agli account dei membri in un'organizzazione con AWS Organizations](orgs_manage_accounts_access.md).
1. Nella pagina **[Pannello di controllo dell'organizzazione](https://console.aws.amazon.com/organizations/v2/home/dashboard)**, scegli **Lascia questa organizzazione**.
1. Nella finestra di dialogo **Conferma l'abbandono dell'organizzazione**, scegliere **Lascia l'organizzazione**. Quando richiesto, confermare la scelta per rimuovere l'account. Dopo aver confermato, verrai reindirizzato alla pagina **Getting Started** della AWS Organizations console, dove potrai visualizzare tutti gli inviti in sospeso relativi al tuo account a entrare a far parte di altre organizzazioni.
Se viene visualizzato il messaggio **Non puoi ancora lasciare l'organizzazione**, significa che il tuo account non dispone di tutte le informazioni necessarie per funzionare come account indipendente. In tal caso, procedi alla fase successiva.
1. Se nella finestra di dialogo **Conferma l'abbandono dell'organizzazione** viene visualizzato il messaggio **Non puoi ancora lasciare l'organizzazione**, scegli il link **Completa le fasi di accesso dell'account**.
Se non vedi il link **Completa la procedura di registrazione dell'account, utilizza [questo link](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) per accedere alla AWS pagina di registrazione e completa i passaggi** **di registrazione** mancanti.
1. Nella pagina **Registrati a AWS**, inserisci tutte le informazioni necessarie affinché questo diventi un account indipendente. Potrebbe includere i seguenti tipi di informazioni:
+ Nome e indirizzo del contatto
+ Metodo di pagamento valido
+ Verifica del numero di telefono
+ Opzioni del piano di supporto
1. Quando viene visualizzata la finestra di dialogo che indica che il processo di registrazione è completo, scegliere **Lascia organizzazione**.
Viene visualizzata una finestra di dialogo di conferma. Confermare la scelta per rimuovere l'account. Verrai reindirizzato alla pagina **Guida introduttiva** della AWS Organizations console, dove puoi visualizzare tutti gli inviti in sospeso relativi al tuo account a entrare a far parte di altre organizzazioni.
1. Rimuovi i ruoli IAM che concedono l'accesso all'account dall'organizzazione.
**Importante**
Se l'account è stato creato nell'organizzazione, Organizations crea automaticamente un ruolo IAM nell'account che abilita l'accesso dall'account di gestione dell'organizzazione. Se l'account è stato invitato a unirsi, Organizations non crea automaticamente un tale ruolo, ma è possibile che uno sia stato creato dall'utente o da un altro amministratore per ottenere gli stessi vantaggi. In entrambi i casi, quando si rimuove l'account dall'organizzazione, tale ruolo non viene eliminato automaticamente. Se desideri terminare l'accesso dall'account di gestione dell'organizzazione precedente, è necessario eliminare manualmente questo ruolo IAM. Per informazioni sull'eliminazione di un ruolo, consulta [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.
------
#### [ AWS CLI & AWS SDKs ]
**Per lasciare un'organizzazione come account membro**
Per lasciare un'organizzazione, è possibile utilizzare uno dei seguenti comandi:
+ AWS CLI: [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)
Nell'esempio seguente l'account le cui credenziali vengono utilizzate per eseguire il comando viene fatto uscire dall'organizzazione.
```
$ aws organizations leave-organization
```
Questo comando non produce alcun output se ha esito positivo.
+ AWS SDKs: [LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)
Dopo che l'account membro ha lasciato l'organizzazione, assicurati di rimuovere i ruoli IAM che concedono l'accesso all'account dall'organizzazione.
**Importante**
Se l'account è stato creato nell'organizzazione, Organizations crea automaticamente un ruolo IAM nell'account che abilita l'accesso dall'account di gestione dell'organizzazione. Se l'account è stato invitato a unirsi, Organizations non crea automaticamente un tale ruolo, ma è possibile che uno sia stato creato dall'utente o da un altro amministratore per ottenere gli stessi vantaggi. In entrambi i casi, quando si rimuove l'account dall'organizzazione, tale ruolo non viene eliminato automaticamente. Se desideri terminare l'accesso dall'account di gestione dell'organizzazione precedente, è necessario eliminare manualmente questo ruolo IAM. Per informazioni sull'eliminazione di un ruolo, consulta [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.
Gli account dei membri possono anche essere rimossi da un utente nell'account di gestione con instead. [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html) Per ulteriori informazioni, consulta [Rimuovere un account membro da un'organizzazione](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account).
------
# Aggiornamento del nome dell'account di un account membro con AWS Organizations
Quando accedi all'account di gestione della tua organizzazione, puoi aggiornare il nome dell'account di un account membro. Per informazioni su come aggiornare il nome dell'account di un membro, segui la procedura riportata in [Aggiornare il nome dell'account per qualsiasi Account AWS membro dell'organizzazione](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs) nella *Guida Gestione dell'account AWS di riferimento*.
# Aggiornamento dell'indirizzo e-mail dell'utente root (indirizzo per un account membro con AWS Organizations
Per una maggiore sicurezza e resilienza amministrativa, i responsabili IAM dell'account di gestione (che dispongono delle autorizzazioni IAM necessarie) possono aggiornare centralmente l'indirizzo e-mail di un utente root () (noto anche come indirizzo e-mail principale) per qualsiasi account membro senza dover accedere a ciascun account singolarmente. Ciò offre agli amministratori dell'account di gestione (o di un account amministratore delegato) un maggiore controllo sugli account dei membri. Garantisce inoltre che gli indirizzi e-mail degli utenti root Gli di qualsiasi account membro del tuo account AWS Organizations possano essere mantenuti aggiornati, anche quando potresti aver perso l'accesso all'indirizzo e-mail dell'utente root originale, all'indirizzo e-mail o alle credenziali amministrative.
Quando l'indirizzo e-mail dell'utente root L'indirizzo viene modificato centralmente dall'amministratore dell'account di gestione, sia la password che la configurazione MFA rimarranno le stesse di prima della modifica. Tieni presente che l'autenticazione a più fattori può essere aggirata da un utente che controlla l'indirizzo e-mail dell'utente root di un account, l'indirizzo e-mail di contatto principale.
Per aggiornare l'indirizzo e-mail dell'utente root (indirizzo ) di un account membro dell'organizzazione, l'organizzazione deve aver precedentemente abilitato la modalità [tutte le funzionalità](orgs_getting-started_concepts.md#feature-set-all). AWS Organizations in modalità di fatturazione consolidata o in account che non fanno parte di un'organizzazione, non possono aggiornare centralmente l'indirizzo e-mail dell'utente root (indirizzo e-mail ). Gli utenti che desiderano modificare l'indirizzo e-mail dell'utente root (indirizzo per gli account non supportati dall'API) devono continuare a utilizzare la Console di fatturazione per gestire l'indirizzo e-mail dell'utente root (indirizzo e-mail ).
Per step-by-step istruzioni su come aggiornare l'indirizzo e-mail dell'utente root dell'account membro (indirizzo e-mail [e-mail dell'utente root per qualsiasi Account AWS utente dell'organizzazione](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs) nella *Guida Gestione dell'account AWS di riferimento*.
# Gestione degli inviti all'account con AWS Organizations
Dopo aver [creato un'organizzazione](orgs_manage_org_create.md) e [verificato di essere il proprietario dell'indirizzo e-mail](about-email-verification.md) associato all'account di gestione, puoi invitare gli esistenti Account AWS a entrare a far parte della tua organizzazione. Utilizza la AWS Organizations console per avviare e gestire gli inviti da inviare ad altri account. Puoi inviare un invito ad altri account solo dall'account di gestione della tua organizzazione.
Quando inviti un account, AWS Organizations invia un invito al proprietario dell'account, che può decidere di accettare o rifiutare l'invito.
Se sei l'amministratore di un Account AWS, puoi anche accettare o rifiutare un invito da un'organizzazione. Se accetti, l'account diventa un membro di tale organizzazione.
Per creare un account che fa automaticamente parte di un'organizzazione, consulta[Creazione di un account membro in un'organizzazione con AWS Organizations](orgs_manage_accounts_create.md).
**Importante**
Tutti gli account di un'organizzazione devono provenire dalla stessa AWS partizione dell'account di gestione. Gli account nella Regioni AWS partizione commerciale non possono trovarsi in un'organizzazione con account della partizione Regioni Cina o account nella partizione AWS GovCloud (US) Regioni.
**Topics**
+ [
## Considerazioni
](#impact_of_join)
+ [Invio di inviti](orgs_manage_accounts_invite-account.md)
+ [Gestione degli inviti in sospeso](orgs_manage_accounts_manage-invites.md)
+ [Accettare o rifiutare gli inviti](orgs_manage_accounts_accept-decline-invite.md)
## Considerazioni
**Limitazioni al numero di inviti che puoi inviare al giorno**
Per le limitazioni sul numero di inviti che puoi inviare ogni giorno, consulta[Valori massimi e minimi](orgs_reference_limits.md#min-max-values). Gli inviti accettati non rientrano nel calcolo di questa quota. Non appena un invito viene accettato, è possibile inviare un altro invito lo stesso giorno. Ogni invito deve ricevere risposta entro 15 giorni o scadrà.
Un invito che viene inviato a un account non rientra nel calcolo della quota degli account nell'organizzazione. Il conteggio viene azzerato se l'account invitato rifiuta, l'account di gestione annulla l'invito o l'invito scade.
**Un account può entrare a far parte di una sola organizzazione**
Un account può entrare a far parte di una sola organizzazione. Se ricevi più inviti, puoi accettarne solo uno.
**La cronologia e i report di fatturazione rimangono nell'account di gestione**
La cronologia di fatturazione e i report per tutti gli account rimangono nell'account di gestione di un'organizzazione. Prima di trasferire l'account in una nuova organizzazione, esporta o esegui il backup delle cronologie di fatturazione e dei report per tutti gli account membro che desideri conservare. Ciò potrebbe includere report sui [costi e sull'utilizzo, report](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html) [Cost Explorer, report](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html) [Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr) e [utilizzo e copertura delle istanze riservate (RI)](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer).
**L'account di gestione è responsabile di tutti gli addebiti maturati dagli account dei membri**
Dopo che un account ha accettato l'invito a entrare a far parte di un'organizzazione, l'account di gestione dell'organizzazione diventa responsabile di tutti gli addebiti maturati dal nuovo account membro. Il metodo di pagamento associato all'account membro non viene più utilizzato. Al contrario, il metodo di pagamento associato all'account di gestione dell'organizzazione viene addebitato per tutte le spese maturate dall'account membro.
**Organizations crea automaticamente il ruolo collegato al servizio `AWSServiceRoleForOrganizations`**
AWS Organizations crea un ruolo collegato al servizio chiamato `AWSServiceRoleForOrganizations` a supportare le integrazioni tra e altri servizi. AWS Organizations AWS Per ulteriori informazioni, consulta [AWS Organizations e ruoli collegati ai servizi](orgs_integrate_services.md#orgs_integrate_services-using_slrs). [L'account invitato deve avere questo ruolo se l'organizzazione supporta tutte le funzionalità.](orgs_getting-started_concepts.md#feature-set-all) Puoi eliminare questo ruolo se l'organizzazione supporta solo il set di funzionalità di [fatturazione consolidata](orgs_getting-started_concepts.md#feature-set-cb-only). Se elimini questo ruolo e successivamente abiliti tutte le funzionalità dell'organizzazione, AWS Organizations ricrea questo ruolo per l'account.
**Organizations non crea automaticamente il ruolo IAM `OrganizationAccountAccessRole`**
Per gli account dei membri invitati, AWS Organizations non crea automaticamente il ruolo IAM [`OrganizationAccountAccessRole`](orgs_manage_accounts_access-cross-account-role.md). Questo ruolo concede agli utenti dell'account di gestione l'accesso amministrativo all'account membro. Se desideri abilitare tale livello di controllo amministrativo a un account invitato, è possibile aggiungere manualmente il ruolo. Per ulteriori informazioni, consulta [Creazione OrganizationAccountAccessRole di un account invitato con AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
**Nota**
Quando crei un account nella tua organizzazione invece di invitare un account esistente a iscriversi, crea AWS Organizations automaticamente il ruolo IAM `OrganizationAccountAccessRole` per impostazione predefinita.
**Le policy allegate alla root o all'unità organizzativa che contengono l'account vengono applicate immediatamente**
Se sono state associate delle politiche alla radice o all'unità organizzativa (OU) che contiene l'account invitato, tali politiche si applicano immediatamente a tutti gli utenti e i ruoli dell'account invitato.
È possibile [abilitare l'attendibilità del servizio per un altro AWS servizio](orgs_integrate_services_list.md) per l'organizzazione. In questo caso, il servizio sicuro può creare ruoli collegati ai servizi o eseguire operazioni in qualsiasi account membro dell'organizzazione, incluso un account invitato.
**Organizations con solo il set di funzionalità di fatturazione consolidata possono comunque invitare account**
Puoi invitare un account a partecipare a un'organizzazione in cui sono abilitate solo le caratteristiche di fatturazione consolidata. Se in un secondo momento vuoi abilitare tutte le caratteristiche per l'organizzazione, gli account invitati devono approvare la modifica.
# Invio di inviti all'account con AWS Organizations
Per invitare gli account a far parte dell'organizzazione, è necessario prima confermare di essere il proprietario dell'indirizzo e-mail associato all'account di gestione. Per ulteriori informazioni, consulta [Verifica dell'indirizzo e-mail con AWS Organizations](about-email-verification.md). Dopo avere verificato l'indirizzo e-mail, completa le seguenti fasi per invitare gli account a far parte dell'organizzazione.
**Autorizzazioni minime**
Per invitare un utente Account AWS a unirsi alla propria organizzazione, è necessario disporre delle seguenti autorizzazioni:
`organizations:DescribeOrganization` (solo console)
`organizations:InviteAccountToOrganization`
------
#### [ Console di gestione AWS ]
**Per invitare un altro account a far parte dell'organizzazione**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Se hai già verificato il tuo indirizzo email con AWS, salta questo passaggio.
Se l'indirizzo e-mail non è ancora stato verificato, segui le istruzioni contenute nell'[e-mail di verifica](about-email-verification.md) entro 24 ore dal momento di creazione dell'organizzazione. Potrebbe trascorrere del tempo prima di ricevere il messaggio e-mail di verifica. Fino a quando non verifichi l'indirizzo e-mail, non puoi invitare altri account a far parte della tua organizzazione.
1. Passare alla pagina **[Account AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** e scegliere **Add an AWS account** (Aggiungi un account AWS ).
1. Nella pagina **[Add an Account AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** (Aggiungi un Account AWS), scegliere **Invite an existing AWS account** (Invita un account AWS esistente).
1. Nella AWS pagina **[Invita un account esistente](https://console.aws.amazon.com/organizations/v2/home/accounts/add/invite)**, per **Indirizzo e-mail o ID account del Account AWS destinatario dell'invito** inserisci l'indirizzo e-mail associato all'account da invitare o il relativo numero ID dell'account.
1. (Facoltativo) Per **Message to include in the invitation email message (Messaggio da includere nel messaggio e-mail di invito)**, inserisci il testo da includere nell'invito e-mail al proprietario dell'account invitato.
1. (Facoltativo) Nella sezione **Add tags (Aggiungi tag)**, specifica uno o più tag da assegnare automaticamente all'account dopo l'accettazione dell'invito da parte dell'amministratore. A questo scopo, scegli **Add tag (Aggiungi tag)** e inserisci una chiave e un valore facoltativo. Lasciando vuoto il valore, questo viene impostato su una stringa vuota; non è `null`. Puoi associare fino a 50 tag a un Account AWS.
1. Selezionare **Send invitation (Invia invito)**.
**Importante**
Se viene visualizzato un messaggio che indica il superamento delle quote degli account per l'organizzazione o l'impossibilità di aggiungere un account poiché l'organizzazione è ancora in fase di inizializzazione, contattare [Supporto AWS](https://console.aws.amazon.com/support/home#/).
1. La console reindirizza alla pagina **[Invitations (Inviti)](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**, dove è possibile visualizzare tutti gli inviti aperti e accettati. L'invito appena creato viene visualizzato nella parte superiore della lista con lo stato impostato su **OPEN (APERTO)**.
AWS Organizations invia un invito all'indirizzo e-mail del proprietario dell'account che hai invitato all'organizzazione. Questo messaggio e-mail include un collegamento alla AWS Organizations console, in cui il proprietario dell'account può visualizzare i dettagli e scegliere di accettare o rifiutare l'invito. In alternativa, il proprietario dell'account invitato può ignorare il messaggio e-mail, accedere direttamente alla AWS Organizations console, visualizzare l'invito e accettarlo o rifiutarlo.
L'invito a questo account rientra immediatamente nel calcolo del numero massimo di account che è possibile avere nell'organizzazione. AWS Organizations non attende fino a quando l'account accetta l'invito. Se l'account invitato rifiuta, l'account di gestione annulla l'invito. Se l'account invitati non risponde entro il periodo di tempo specificato, l'invito scade. In entrambi i casi, l'invito non rientra più nel calcolo della quota.
------
#### [ AWS CLI & AWS SDKs ]
**Per invitare un altro account a far parte dell'organizzazione**
È possibile utilizzare uno dei seguenti comandi per invitare un altro account a far parte dell'organizzazione:
+ AWS CLI: [invite-account-to-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/invite-account-to-organization.html)
```
$ aws organizations invite-account-to-organization \
--target '{"Type": "EMAIL", "Id": "juan@example.com"}' \
--notes "This is a request for Juan's account to join Bill's organization."
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "OPEN"
}
}
```
+ AWS SDKs: [InviteAccountToOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_InviteAccountToOrganization.html)
------
# Gestire gli inviti all'account in sospeso con AWS Organizations
Quando effettui l'accesso all'account di gestione, puoi visualizzare tutti gli Account AWS collegati nell'organizzazione e annullare eventuali inviti in attesa (aperti). Per farlo, completa le seguenti fasi.
**Autorizzazioni minime**
Per gestire gli inviti in sospeso per l'organizzazione, è necessario disporre delle seguenti autorizzazioni:
`organizations:DescribeOrganization` - Obbligatorio solo quando si utilizza la console Organizations
`organizations:ListHandshakesForOrganization`
`organizations:CancelHandshake`
------
#### [ Console di gestione AWS ]
**Per visualizzare o annullare inviti che vengono inviati dall'organizzazione ad altri account**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Vai alla pagina **[Invitations (Inviti)](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**.
La pagina mostra tutti gli inviti inviati dall'organizzazione e il loro stato attuale.
Se non riesci a visualizzare un invito, controlla se l'account invitato è l'account di gestione di un'altra organizzazione. Solo gli account membri e gli account autonomi possono ricevere inviti. Gli account di gestione non possono ricevere inviti.
Se si desidera invitare un account che è un account di gestione di un'altra organizzazione, si consiglia di rendere tale account un account autonomo.
**Nota**
Gli inviti accettati, annullati e rifiutati continuano a essere visualizzati nell'elenco per 30 giorni. Successivamente, vengono eliminati e non vengono più visualizzati nell'elenco.
1. Seleziona il pulsante di opzione ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/images/radio-button-selected.png)accanto all'invito da annullare e scegli **Cancel invitation (Cancella invito)**. Se il pulsante di opzione è disattivato, l'invito non può essere annullato.
Lo stato dell'invito passa da **OPEN (APERTO)** a **CANCELED (ANNULLATO)**.
AWS invia un messaggio e-mail al proprietario dell'account indicando che l'invito è stato annullato. L'account non può più far parte dell'organizzazione a meno che non venga inviato un nuovo invito.
------
#### [ AWS CLI & AWS SDKs ]
**Per visualizzare o annullare inviti che vengono inviati dall'organizzazione ad altri account**
È possibile utilizzare i comandi seguenti per visualizzare o annullare inviti:
+ AWS CLI[:, annulla-handshake [list-handshakes-for-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-organization.html)](https://docs.aws.amazon.com/cli/latest/reference/organizations/cancel-handshake.html)
+ Nell'esempio seguente vengono illustrati gli inviti inviati da questa organizzazione ad altri account.
```
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Juan's account to join Bill's organization."
}
],
"State": "OPEN"
},
{
"Action": "INVITE",
"State":"ACCEPTED",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1.471797437427E9,
"Id": "h-examplehandshakeid222",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "anika@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1.469205437427E9,
"Resources": [
{
"Resources": [
{
"Type":"MASTER_EMAIL",
"Value":"bill@example.com"
},
{
"Type":"MASTER_NAME",
"Value":"Management Account"
}
],
"Type":"ORGANIZATION",
"Value":"o-exampleorgid"
},
{
"Type":"EMAIL",
"Value":"anika@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Anika's account to join Bill's organization."
}
]
}
]
}
```
L'esempio seguente mostra come annullare un invito a un account.
```
$ aws organizations cancel-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Id": "h-examplehandshakeid111",
"State":"CANCELED",
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "susan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Type": "ORGANIZATION",
"Value": "o-exampleorgid",
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@example.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "CONSOLIDATED_BILLING"
}
]
},
{
"Type": "EMAIL",
"Value": "anika@example.com"
},
{
"Type": "NOTES",
"Value": "This is a request for Susan's account to join Bob's organization."
}
],
"RequestedTimestamp": 1.47008383521E9,
"ExpirationTimestamp": 1.47137983521E9
}
}
```
+ AWS SDKs: [ListHandshakesForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListHandshakesForOrganization.html), [CancelHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CancelHandshake.html)
------
# Accettare o rifiutare gli inviti all'account con AWS Organizations
Se ricevi un invito a entrare a far parte di un'organizzazione, puoi accettare o rifiutare l'invito.
## Considerazioni
**Lo stato di un account presso un'organizzazione influisce sui dati visibili su costi e utilizzo**
Se un account membro non fa più parte dell'organizzazione e diventa un account standalone, non ha più accesso ai dati su costi e utilizzo da quando l'account è diventato membro dell'organizzazione. L'account ha accesso solo ai dati generati come account standalone.
Se un account membro non fa più parte dell'organizzazione A ed entra a far parte dell'organizzazione B, non ha più accesso ai dati su costi e utilizzo relativi all'organizzazione A, ma solo ai dati generati come membro dell'organizzazione B. L'account ha accesso solo ai dati generati come membro dell'organizzazione B.
Se un account entra di nuovo a far parte di un'organizzazione cui apparteneva in precedenza, riottiene l'accesso ai dati cronologici su costi e utilizzo.
**Solo gli account membri e gli account autonomi possono accettare o rifiutare un invito**
Solo gli account membri e gli account autonomi possono accettare o rifiutare un invito a entrare a far parte di un'organizzazione. Se un invito viene inviato a un account di gestione che fa già parte di un'organizzazione, tale account non potrà visualizzare l'invito finché non [rimuoverà tutti gli account dei membri dall'organizzazione](orgs_manage_accounts_remove.md) e non [eliminerà l'organizzazione](orgs_manage_org_delete.md).
**CloudTrail la registrazione avviene nell'account che esegue l'azione**
Se un account membro o un account indipendente accetta o rifiuta un invito all'account, tale azione verrà registrata nel CloudTrail registro dell'account attivo. Se l'account agente è un account membro, tale azione non verrà registrata nei registri dell'account di gestione. CloudTrail Ciò è coerente con la CloudTrail registrazione in scenari correlati (ad es. L'account del membro che lascia l'organizzazione verrà registrato nell'account del membro (percorso dell'account, l'account di gestione che rimuove l'account membro verrà registrato nell'account di gestione).
## Accetta o rifiuta l'invito all'account
Per accettare o rifiutare l'invito, completa i seguenti passaggi.
**Autorizzazioni minime**
Per accettare o rifiutare un invito a far parte di un'organizzazione , è necessario disporre delle seguenti autorizzazioni:
`organizations:ListHandshakesForAccount`— Obbligatorio per visualizzare l'elenco degli inviti nella AWS Organizations console.
`organizations:AcceptHandshake`.
`organizations:DeclineHandshake`.
`organizations:LeaveOrganization`— Richiesto solo quando si accetta un invito quando l'account è già membro di un'organizzazione.
`iam:CreateServiceLinkedRole`— Richiesto solo quando l'accettazione dell'invito richiede la creazione di un ruolo collegato al servizio nell'account del membro per supportare l'integrazione con altri. Servizi AWS Per ulteriori informazioni, consulta [AWS Organizations e ruoli collegati ai servizi](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
------
#### [ Console di gestione AWS ]
**Per accettare o rifiutare un invito**
1. Un invito a far parte di un'organizzazione viene inviato all'indirizzo e-mail del proprietario dell'account. Se il proprietario dell'account riceve un messaggio e-mail di invito, seguire le istruzioni contenute nell'invito e-mail o passare alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2) nel browser, quindi scegliere **Invitations** (Inviti) oppure andare direttamente alla pagina **[member account's Invitation](https://console.aws.amazon.com/organizations/v2/home/invitations)** (Invito dell'account membro).
1. Se richiesto, accedi all'account invitato come un utente IAM, assumi un ruolo IAM o accedi come utente root dell'account ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).
1. La pagina **[Inviti dell'account membro](https://console.aws.amazon.com/organizations/v2/home/invitations)** visualizza gli inviti a partecipare alle organizzazioni attualmente disponibili per il tuo account.
Scegli **Accept invitation (Accetta l'invito)** o **Decline invitation (Rifiuta l'invito)** in base alle esigenze.
+ Se nella fase precedente scegli **Accept invitation (Accetta invito)**, la console reindirizza alla pagina [Organization overview (Panoramica dell'organizzazione)](https://console.aws.amazon.com/organizations/v2/home/dashboard) con i dettagli relativi all'organizzazione di cui l'account è ora membro. È possibile visualizzare l'ID dell'organizzazione e l'indirizzo e-mail del proprietario.
**Nota**
Gli inviti accettati continuano a essere visualizzati nell'elenco per 30 giorni. Successivamente, vengono eliminati e non vengono più visualizzati nell'elenco.
AWS Organizations crea automaticamente un ruolo collegato al servizio nell'account del nuovo membro per supportare l'integrazione tra e altri. AWS Organizations Servizi AWS Per ulteriori informazioni, consulta [AWS Organizations e ruoli collegati ai servizi](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
AWS invia un messaggio di posta elettronica al proprietario dell'account di gestione dell'organizzazione indicando che hai accettato l'invito. Inoltre, invia un messaggio e-mail al proprietario dell'account membro affermando che l'account è ora un membro dell'organizzazione.
+ Se scegli **Decline (Rifiuta)** nella fase precedente, l'account rimarrà nella pagina **[Inviti dell'account membro](https://console.aws.amazon.com/organizations/v2/home/invitations)** in cui vengono elencati tutti gli inviti in sospeso.
AWS invia un messaggio di posta elettronica al proprietario dell'account di gestione dell'organizzazione indicando che hai rifiutato l'invito.
**Nota**
Gli inviti rifiutati continuano a essere visualizzati nell'elenco per 30 giorni. Successivamente, vengono eliminati e non vengono più visualizzati nell'elenco.
------
#### [ AWS CLI & AWS SDKs ]
**Per accettare o rifiutare un invito**
È possibile utilizzare i comandi seguenti per accettare o rifiutare un invito:
+ AWS CLI: [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html), [decline-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/decline-handshake.html)
L'esempio seguente mostra come accettare un invito a far parte di un'organizzazione.
```
$ aws organizations accept-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"RequestedTimestamp": 1481656459.257,
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "ALL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "ACCEPTED"
}
}
```
L'esempio seguente mostra come rifiutare un invito a far parte di un'organizzazione.
+ AWS SDKs: [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html), [DeclineHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeclineHandshake.html)
------
# Esegui la migrazione di un account verso un'altra organizzazione con AWS Organizations
Puoi migrare un uomo Account AWS da un'organizzazione all'altra in qualsiasi momento. Ad esempio, la migrazione di un account può essere utile in caso di fusione e acquisizione quando è necessario consolidare uno o più account Account AWS da più organizzazioni in un'unica organizzazione.
Qualunque sia il caso d'uso, la migrazione di un account tra organizzazioni richiede l'invio di un invito dall'account di gestione della nuova organizzazione e l'utilizzo dell'account invitato per accettare l'invito a entrare a far parte della nuova organizzazione.
**Nota**
**Gli account chiusi o sospesi non possono essere migrati.**
Non è possibile migrare un account chiuso o sospeso. Per riattivare un account, contatta. [Supporto](https://aws.amazon.com/contact-us/)
**Età minima di quattro giorni**
Per migrare un account creato in un'organizzazione, è necessario attendere almeno quattro giorni dalla creazione dell'account. Gli account invitati non sono soggetti a questo tempo di attesa.
**Replica dei dati tra account**
La seguente guida AWS prescrittiva fornisce informazioni sulle strategie per la replica dei dati tra Account AWS: replica [delle risorse](https://docs.aws.amazon.com/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/resource-migration.html) o migrazione tra. Account AWS
## Cosa devi fare prima di migrare un account
Prima di effettuare la migrazione Account AWS da un'organizzazione all'altra, assicurati di aver completato i seguenti passaggi.
### Passaggio 1: verifica di disporre delle autorizzazioni IAM necessarie per migrare un account
#### Fase 1
Assicurati di aver applicato le autorizzazioni necessarie per la migrazione di un account verso le rispettive organizzazioni.
**Per lasciare un'organizzazione, devi disporre delle seguenti autorizzazioni:**
+ `organizations:DescribeOrganization` (solo console)
+ `organizations:LeaveOrganization`
Per ulteriori informazioni, consulta [Abbandona un'organizzazione dal tuo account membro](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_leave-as-member.html).
**Per invitare un utente Account AWS a entrare a far parte di un'organizzazione, devi disporre delle seguenti autorizzazioni:**
+ `organizations:DescribeOrganization` (solo console)
+ `organizations:InviteAccountToOrganization`
Per ulteriori informazioni, vedi [Invitare un uomo Account AWS a entrare a far parte dell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
**Per migrare un account, non è possibile disporre di policy IAM o policy di controllo dei servizi che impediscano la migrazione**
Se sei l'account di gestione o un amministratore delegato, puoi controllare l'accesso alle AWS risorse collegando le politiche di autorizzazione alle identità IAM (utenti, gruppi e ruoli) all'interno di un'organizzazione. [Per ulteriori informazioni, consulta le politiche IAM per. AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_iam-policies.html)
Prima di migrare un account:
+ Verifica che non vi siano policy IAM o policy di controllo del servizio (SCPs) che ti impediscano di migrare l'account.
+ Identifica le policy IAM e le policy di controllo dei servizi esistenti (SCPs) che devi replicare nell'organizzazione in cui stai migrando l'account.
+ Identifica le policy IAM esistenti che specificano l'ID della tua organizzazione. Ad esempio, [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid).
Per ulteriori informazioni, consulta [Managing IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) nella *IAM User Guide* e [Service control policies (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).
### Passaggio 2: verifica di aver rimosso le autorizzazioni IAM che consentono l'accesso al vecchio account di gestione
#### Fase 2
Assicurati di aver rimosso le autorizzazioni IAM che consentono l'accesso al vecchio account di gestione, ad esempio. `OrganizationAccountAccessRole`
Quando rimuovi un account membro da un'organizzazione, qualsiasi ruolo IAM creato per consentire l'accesso da parte dell'account di gestione dell'organizzazione non viene eliminato automaticamente. Se desideri terminare l'accesso dall'account di gestione dell'organizzazione precedente, è necessario eliminare manualmente il ruolo IAM.
Per informazioni sull'eliminazione di un ruolo, consulta [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.
### Passaggio 3: Esegui il backup di tutti i report
#### Fase 3
Assicurati di esportare o eseguire il backup dei report dall'account di gestione, in particolare dei report di fatturazione. I report e la cronologia a livello organizzativo non vengono archiviati quando esegui la migrazione di un account. Si consiglia di eseguire un'esportazione completa di tutta la cronologia di fatturazione. Puoi comunque accedere ai report relativi all'account dei membri, come la cronologia degli AWS CloudTrail eventi e la cronologia di fatturazione dell'account.
**Importante**
Tutti i report e la cronologia a livello organizzativo, come le informazioni di fatturazione organizzative nell'account di gestione, verranno eliminati dopo la rimozione di un account da un'organizzazione.
Per ulteriori informazioni, consulta [Cost and Usage Reports](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html), [Cost Explorer Reports](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html), [Savings Plans Reports](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr) e [utilizzo e copertura delle istanze riservate (RI)](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer).
### Fase 4: Verificare le dipendenze dell'organizzazione
#### Fase 4
Assicurati che l'account in fase di migrazione non abbia dipendenze relative all'organizzazione.
**Dipendenze da controllare:**
+ Se l'account è un amministratore delegato, è necessario annullare la registrazione delle autorizzazioni di amministratore delegato prima di migrare l'account. [Per ulteriori informazioni, consulta Servizi con cui è possibile utilizzare. AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)
+ Se l'account è l'account di gestione, è necessario rimuovere tutti gli account dei membri dall'organizzazione ed eliminare l'organizzazione prima della migrazione. Dopo aver eliminato l'organizzazione, l'account di gestione funzionerà come account autonomo. Dopo la migrazione, l'account di gestione sarà un account membro della nuova organizzazione. Per ulteriori informazioni, vedere [Eliminazione di un'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html).
+ Se alcune autorizzazioni IAM dipendono dall'account, dovrai modificare le autorizzazioni per la vecchia organizzazione dopo aver migrato l'account nella nuova organizzazione affinché la vecchia organizzazione funzioni come prima. Per ulteriori informazioni, consulta [Gestione delle autorizzazioni di accesso](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html) per la tua organizzazione.
+ Se utilizzi tag di account o unità organizzative (OU), dovrai ricreare i tag nella nuova organizzazione.
### (Facoltativo) Passaggio 5: consulta le linee guida se utilizzi AWS Control Tower
#### (Facoltativo) Fase 5
Se stai migrando un account da o verso un'organizzazione gestita da AWS Control Tower, consulta la seguente Guida AWS prescrittiva: [Esegui la migrazione di un account AWS membro](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html) da a. AWS Organizations AWS Control Tower
## Cosa devi fare per migrare un account
Il processo di migrazione richiede che la nuova organizzazione invii un invito all'account di migrazione e che l'account di migrazione accetti l'invito della nuova organizzazione a entrare a far parte della nuova organizzazione.
**Per migrare un account**
1. Invia un invito dall'account di gestione della nuova organizzazione all'account di migrazione. Per informazioni su come invitare account, vedi [Invitare un utente Account AWS a entrare a far parte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) della tua organizzazione.
1. Accetta l'invito a entrare a far parte della nuova organizzazione. Per ulteriori informazioni, consulta [Accettazione di un invito da un'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite). Gli account migrati da un'altra organizzazione all'altra verranno aggiunti automaticamente alla cartella principale della nuova organizzazione. Prima di spostare un account in un'unità organizzativa (OU) della nuova organizzazione, si consiglia di verificare che l'account in fase di migrazione disponga dei criteri organizzativi e delle autorizzazioni dell'unità organizzativa appropriati.
1. Se si desidera migrare l'account di gestione, è necessario [rimuovere tutti gli account dei membri](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) dall'organizzazione ed [eliminare l'organizzazione prima di migrare l'](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html)account di gestione nella nuova organizzazione. Dopo aver eliminato la vecchia organizzazione, l'account di gestione funzionerà come account autonomo e potrà accettare l'invito della nuova organizzazione a entrare a far parte della nuova organizzazione. Se accetti l'invito, l'account di gestione sarà un account membro della nuova organizzazione.
## Cosa devi fare dopo la migrazione di un account
Dopo la migrazione del tuo account da un'organizzazione all'altra, assicurati di aver completato i seguenti passaggi.
**Revisione successiva alla migrazione**
1. Valuta tutte le [configurazioni degli strumenti di fatturazione](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-laying-the-foundation/reporting-cost-optimization-tools.html) per l'account migrato, ad esempio categorie di costi, budget e allarmi di fatturazione.
1. Rivedi e aggiorna le seguenti informazioni monetarie per tutti gli account migrati da un'organizzazione all'altra:
1. Se necessario, [aggiorna le impostazioni fiscali](https://repost.aws/knowledge-center/update-tax-registration-number) sull'account.
1. Assicurati che il [Supporto piano](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidatedbilling-support.html) di migrazione dell'account corrisponda all'account di pagamento della nuova organizzazione.
1. Esamina tutte le possibili [esenzioni fiscali](https://aws.amazon.com/tax-help/united-states/) che potresti voler applicare all'account che hai migrato.
1. Convalida e conferma le politiche IAM e le politiche di controllo del servizio esistenti (SCPs) per l'account migrato. Ad esempio, potrebbe essere necessario aggiornare l'ID dell'organizzazione per alcune policy IAM in modo che rispecchino la nuova organizzazione.
1. Aggiorna i [tag di allocazione dei costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) per la nuova organizzazione in cui hai migrato l'account. Dovrai aggiornare tutti i tag di allocazione dei costi precedenti raccolti dall'account che hai migrato.
1. Tutte [le istanze riservate](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-behavior.html) e [i piani di risparmio](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html) verranno migrati insieme all'account. Questi non vengono mantenuti nella vecchia organizzazione. Contattateci Supporto se è necessario trasferirli alla vecchia organizzazione.
# Visualizza i dettagli di un account in AWS Organizations
Quando accedi all'account di gestione dell'organizzazione nella [AWS Organizations console](https://console.aws.amazon.com/organizations/v2), puoi visualizzare i dettagli relativi agli account dei membri.
**Autorizzazioni minime**
Per visualizzare i dettagli di un Account AWS, devi disporre delle seguenti autorizzazioni:
`organizations:DescribeAccount`
`organizations:DescribeOrganization` - Obbligatorio solo quando si utilizza la console Organizations
`organizations:ListAccounts` - Obbligatorio solo quando si utilizza la console Organizations
------
#### [ Console di gestione AWS ]
**Per visualizzare i dettagli di un Account AWS**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Vai alla pagina **[Account AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** e scegli il nome del nome dell'account (non il pulsante di opzione) che desideri esaminare. Se l'account desiderato è figlio di un'UO, scegli l'icona del triangolo ![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/images/console-expand.png)accanto a un'UO per espanderla e visualizzarne i figli. Ripeti l'operazione fino a quando non trovi l'account.
La casella **Account details (Dettagli account)** mostra le informazioni sull'account.
------
#### [ AWS CLI & AWS SDKs ]
**Per visualizzare i dettagli di un Account AWS**
Per visualizzare i dettagli di un account, puoi utilizzare uno dei seguenti comandi:
+ AWS CLI:
+ [list-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html): elenca i dettagli di *tutti* gli account nell'organizzazione
+ [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html): elenca i dettagli solo dell'account specificato
Entrambi i comandi restituiscono gli stessi dettagli per ogni account incluso nella risposta.
Nell'esempio seguente viene illustrato come recuperare i dettagli relativi a un account specificato.
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ AWS SDKs:
+ [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
+ [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# Esporta i dettagli per tutti gli account in AWS Organizations
Con AWS Organizations, gli utenti dell'account di gestione e gli amministratori delegati di un'organizzazione possono esportare un file.csv con tutti i dettagli dell'account all'interno di un'organizzazione. Di conseguenza, gli amministratori dell'organizzazione possono visualizzare facilmente gli account e filtrarli per stato:`PENDING_ACTIVATION`,,, `ACTIVE` o. `SUSPENDED` `PENDING_CLOSURE` `CLOSED` Se la tua organizzazione ha molti account, l'opzione di download del file .csv fornisce un modo semplice per visualizzare e ordinare i dettagli dell'account in un foglio di calcolo. Ti consigliamo di generare nuove esportazioni CSV anziché utilizzare versioni salvate in precedenza per mantenere le informazioni correnti sull'account.
**Importante**
Abbiamo ritirato il `Status` parametro account nell'`Accounts`oggetto dalla AWS Organizations console il 9 settembre 2025. Il file di esportazione dell'account ora mostrerà il `State` parametro anziché il `Status` parametro. Tutti i processi a valle che utilizzano il file esportato `Organization_accounts_information.csv` devono essere aggiornati per utilizzare il `State` parametro anziché. `Status`
**Nota**
Solo le entità nell'account di gestione possono scaricare l'elenco degli account.
## Esporta un elenco di tutti i componenti della tua Account AWS organizzazione
Una volta effettuato l'accesso all'account di gestione dell'organizzazione, è possibile creare account membri che fanno automaticamente parte dell'organizzazione. L'elenco contiene i dettagli di ogni account; tuttavia, non specifica a quale unità organizzativa (OU) appartengono.
Il file .csv contiene le informazioni seguenti per ciascun account:
+ **ID account** - Identificatore numerico dell'account. Ad esempio: 123456789012.
+ **ARN** - Amazon Resource Name per l'account. Ad esempio: `arn:aws:organizations::123456789012account/o-o1gb0d1234/123456789012`
+ **E-mail** - L'indirizzo e-mail associato all'account. Ad esempio: marymajor@example.com
+ **Nome**- Nome dell'account fornito dal creatore dell'account. Ad esempio: account di test della fase
+ **Stato**- Stato dell'account all'interno dell'organizzazione. Il valore può essere `PENDING`, `ACTIVE` o `SUSPENDED`.
+ **Stato: stato** operativo dell'account all'interno dell'organizzazione. Il valore può essere `PENDING_ACTIVATION``ACTIVE`,`SUSPENDED`,`PENDING_CLOSURE`, o`CLOSED`.
+ **Metodo Joined** - Specifica come è stato creato l'account. Il valore può essere `INVITED` o `CREATED`.
+ **Timestamp Joined** - Data e ora in cui l'account si è unito all'organizzazione.
**Autorizzazioni minime**
Per esportare un file .csv con tutti gli account membri nell'organizzazione, è necessario disporre delle seguenti autorizzazioni:
`organizations:DescribeOrganization`
`organizations:ListAccounts`
------
#### [ Console di gestione AWS ]
**Per esportare un file.csv per tutti i membri dell' Account AWS organizzazione**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Scegli **Actions (Operazioni)**, quindi per **Account AWS** scegli **Export account list (Esporta l'elenco degli account)**. Il banner blu nella parte superiore della pagina indica “Export is in progress\$1” (L'esportazione è in corso).
1. Quando il file è pronto, il banner diventa verde e indica: “Download is ready\$1” (Il download è pronto). Scegli **Download CSV** (Scarica CSV). Il file `Organization_accounts_information.csv` si scarica sul tuo dispositivo.
------
#### [ AWS CLI & AWS SDKs ]
L'unico modo per esportare il file .csv con i dettagli dell'account è utilizzare la Console di gestione AWS. Non è possibile esportare il file con estensione .csv dell'elenco degli account utilizzando la AWS CLI.
------
# Monitora lo stato del tuo Account AWS
AWS Organizations fornisce un modo per valutare rapidamente lo stato di salute e operativo di tutti gli account dell'organizzazione. È possibile visualizzare queste informazioni utilizzando la colonna **Stato** all'interno della AWS Organizations console o programmaticamente tramite. AWS Organizations APIs Ciò consente di tenere traccia della fase del ciclo di vita di ciascuna Account AWS di esse, dalla creazione alla chiusura.
Il monitoraggio continuo dello stato dell'account offre i seguenti vantaggi:
+ Identifica rapidamente gli account che richiedono attenzione o azione
+ Semplifica i processi di gestione degli account
+ Prendi decisioni informate sull'allocazione delle risorse e sul controllo degli accessi
+ Mantieni una maggiore sicurezza e conformità complessive in tutta l'organizzazione
La tabella seguente descrive i cinque possibili stati dell'account e le relative implicazioni per Account AWS:
**Stati dell'account**
| Stato | Description |
| --- | --- |
| IN ATTESA DI ATTIVAZIONE | In questo stato, l'account è inutilizzabile perché la procedura di registrazione dell'account è stata avviata ma mai completata. Il titolare dell'account deve completare i passaggi di registrazione rimanenti, ad esempio fornire informazioni di verifica telefonica o di pagamento. Dopo aver completato questi passaggi, l'account passa allo stato ATTIVO. |
| ACTIVE | Questo stato indica che l'account è completamente operativo e disponibile. Gli utenti possono accedere ai AWS servizi e alle risorse normalmente in base alle autorizzazioni e alle politiche organizzative dell'account. In questo stato possono verificarsi AWS attività regolari come il lancio di risorse, la gestione dei servizi e l'addebito di addebiti. |
| SUSPENDED (SOSPESO) | In questo stato, l'account è inutilizzabile perché AWS ha un accesso limitato. Il titolare dell'account può comunque visualizzare le informazioni di fatturazione e i contatti Supporto, che possono spiegare perché l'account è sospeso. |
| IN ATTESA DI CHIUSURA | Questo stato temporaneo indica una richiesta attiva di chiusura dell'account, ma il processo di chiusura non è ancora completo. L'account rimane funzionante e può ancora essere utilizzato per accedere ai AWS servizi durante l'elaborazione della richiesta di chiusura. Dopo aver AWS elaborato la richiesta di chiusura, l'account passa allo stato CHIUSO. |
| CHIUSO | Questo stato indica che l'account è stato chiuso su richiesta del titolare dell'account o da AWS e viene visualizzato accanto al nome dell'account nella AWS Organizations console per 90 giorni dopo l'avvio della chiusura. Durante questo periodo, non puoi accedere ai AWS servizi, ma puoi contattarci Supporto per ripristinare l'account o recuperare dati importanti. Trascorsi i 90 giorni successivi alla chiusura, l'account viene chiuso definitivamente e non verrà più visualizzato nella console. AWS Organizations |
## Visualizza lo stato di un Account AWS
È possibile visualizzare le informazioni sullo stato dell'account utilizzando la AWS Organizations console o a livello di programmazione utilizzando `DescribeAccount``ListAccounts`, e. `ListAccountsForParent` APIs
**Importante**
Il `Status` parametro dell'account in AWS Organizations verrà ritirato il 9 settembre 2026. Sebbene sia l'account `State` che `Status` i parametri dell'account siano attualmente disponibili in AWS Organizations APIs (`DescribeAccount`,`ListAccounts`,`ListAccountsForParent`), ti consigliamo di aggiornare gli script o altro codice per utilizzare il `State` parametro anziché `Status` prima del 9 settembre 2026.
------
#### [ Console di gestione AWS ]
**Per visualizzare lo stato di un Account AWS**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Vai alla **[Account AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**pagina e nota il valore nella colonna **Stato** accanto all'account membro che desideri esaminare. Se l'account che desideri visualizzare è figlio di un'unità organizzativa, potresti dover scegliere l'icona a forma di triangolo ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/images/console-expand.png) accanto a un'unità organizzativa per espanderla e visualizzarne le figlie. Ripeti l'operazione fino a quando non trovi l'account.
**Nota**
È inoltre possibile visualizzare il valore del campo **Stato** dalla pagina dei **dettagli dell'account** nella AWS Organizations console.
------
#### [ AWS CLI & AWS SDKs ]
**Per visualizzare lo stato di un Account AWS**
È possibile utilizzare i seguenti comandi per visualizzare lo stato di un account:
**Nota**
Per visualizzare i valori dello stato dell'account nelle risposte API, utilizza la AWS CLI versione 2.29.0 o successiva o una versione SDK rilasciata dopo il 9 settembre 2025. Ti consigliamo di utilizzare la versione più recente AWS CLI o SDK come best practice. Per ulteriori informazioni, consulta AWS SDKs il [ciclo di vita delle versioni di Tools](https://docs.aws.amazon.com/sdkref/latest/guide/version-support-matrix.html) nella Guida di riferimento *agli strumenti AWS SDKs e agli strumenti*.
+ AWS CLI:
+ [list-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html): elenca i dettagli di *tutti* gli account nell'organizzazione
+ [list-accounts-for-parent](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts-for-parent.html)— elenca i dettagli di *tutti* gli account dell'organizzazione contenuti nella radice o nell'unità organizzativa (OU) di destinazione specificata
+ [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html): elenca i dettagli solo dell'account specificato
Questi comandi restituiscono gli stessi dettagli per ogni account incluso nella risposta.
L'esempio seguente mostra come recuperare i dettagli su un account specificato, incluso il relativo `State` valore.
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"State": "CLOSED",
"Status": "SUSPENDED",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ AWS SDKs:
+ [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
+ [ListAccountsForParent](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccountsForParent.html)
+ [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# Aggiorna i contatti alternativi per un account in AWS Organizations
Puoi aggiornare i contatti alternativi per gli account all'interno della tua organizzazione utilizzando la console AWS Organizations o programmaticamente utilizzando la AWS CLI o. AWS SDKs *Per informazioni su come aggiornare i contatti alternativi, consulta [Aggiornare i contatti alternativi per tutti i contatti dell'organizzazione Account AWS nella Guida di riferimento per la gestione degli account](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-alternate.html#manage-acct-update-contact-alternate-orgs.html). AWS *
# Aggiorna le informazioni di contatto principali per un account in AWS Organizations
Puoi aggiornare le informazioni di contatto principali per gli account all'interno della tua organizzazione utilizzando la console AWS Organizations o a livello di codice utilizzando la CLI AWS o. AWS SDKs Per informazioni su come aggiornare le informazioni di contatto principali, consulta [Aggiornare il contatto principale per qualsiasi contatto dell'organizzazione Account AWS nell' AWS](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-primary.html#manage-acct-update-contact-primary-orgs)*Account* Management Reference.
# Aggiornamento Regioni AWS per un account in AWS Organizations
Puoi abilitare l'aggiornamento Regioni AWS per gli account all'interno della tua organizzazione utilizzando la AWS Organizations console. Per sapere come abilitare l'aggiornamento Regioni AWS, consulta [Abilitare o disabilitare Regioni AWS nel tuo account](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html) nella Guida di *riferimento alla gestione degli AWS account*.