View a markdown version of this page

を使用してメンバーアカウントから組織を離れる AWS Organizations - AWS Organizations
考慮事項メンバーアカウントから組織を脱会する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用してメンバーアカウントから組織を離れる AWS Organizations

メンバーアカウントにサインインすると、組織を離れることができます。管理アカウントは、この方法で組織を離れることはできません。管理アカウントを削除するには、組織を削除する必要があります。

考慮事項

組織に対するアカウントのステータスは、表示できるコストと使用状況のデータに影響する

アカウントは、組織のメンバーシップの変更に関係なく、アカウントに配信された過去のすべての請求書と、アカウントによって生成されたすべての請求データへのアクセスを維持します。ただし、Cost Explorer のデータ可視性は、現在の組織メンバーシップに関連付けられています。次の表は、3 つの一般的なアカウント移行がデータの可視性にどのように影響するかを示しています。

請求書の可用性 請求書の可用性 (請求書ページなど) Cost Explorer の可用性
シナリオ 1

メンバーアカウントが organizationA を離れ、スタンドアロンアカウントになる

 アカウントは、配信されたすべての過去の請求書へのアクセスを維持します。 アカウントは、 organizationA のメンバーとして生成したすべての履歴請求データへのアクセスを維持します。 アカウントは、 organizationA のメンバーとして生成した過去のコストと使用状況データにアクセスできなくなります。
シナリオ 2

メンバーアカウントが organizationA を離れ organizationB に参加する

 アカウントは、配信されたすべての過去の請求書へのアクセスを維持します。 アカウントは、 organizationA のメンバーとして生成したすべての履歴請求データへのアクセスを維持します。 アカウントは、 organizationA のメンバーとして生成した過去のコストと使用状況データにアクセスできなくなります。
シナリオ 3

アカウントが以前に属していた組織に再参加する

 アカウントは、配信されたすべての過去の請求書へのアクセスを維持します。 アカウントは、生成したすべての履歴請求データへのアクセスを維持します (スタンドアロンアカウントとして生成されたか、別の組織のメンバーとして生成されたかにかかわらず)。 アカウントは、組織のメンバーであった全期間にわたってコストと使用状況データへのアクセスを回復しますが、現在の組織外で生成されたすべての過去のコストと使用状況にはアクセスできなくなります。

アカウントは、そのアカウントに代わって承諾された組織契約の対象ではなくなる

組織を離れると、メンバーアカウントを代表して組織の管理アカウントによって受諾されていた組織契約は適用されなくなります。これらの組織契約のリストは、AWS Artifact 組織契約ページの AWS Artifact コンソールで表示できます。組織を離れる前に、(必要に応じて、法務、プライバシー、またはコンプライアンスチームの支援を得て) 新しい契約を結ぶ必要があるかどうか判断してください。

アカウントのクォータ制限が変更され、影響が生じる可能性がある

組織をメンバーアカウントとして残すと、そのアカウントで使用できるサービスクォータ制限に影響する可能性があります。より高い制限を必要とする自動ワークロードがある場合は、組織を離れた後にサービスクォータコンソールでクォータを再確認して、中断のないエクスペリエンスを確保してください。組織を離れた後、 AWS サポート センターに連絡してサポートを依頼してください。

メンバーアカウントから組織を脱会する

組織を脱会する、次の手順を実行します。

最小アクセス許可

組織を登録解除する場合は、次のアクセス権限が必要です:

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要です。

  • organizations:LeaveOrganization - 組織の管理者は、このアクセス許可を削除するポリシーをアカウントに適用し、組織からアカウントを削除することを禁止できます。

  • IAM ユーザーとしてサインインし、アカウントに支払い情報がない場合、そのユーザーには aws-portal:ModifyBilling 許可と aws-portal:ModifyPaymentMethods 許可 (アカウントがきめ細かな許可に移行されていない場合)、または payments:CreatePaymentInstrument 許可と payments:UpdatePaymentPreferences 許可 (アカウントがきめ細かな許可に移行されている場合) のどちらか一方が必要になります。また、メンバーアカウントでは、請求への IAM ユーザーアクセスが有効になっている必要があります。有効になっていない場合は、AWS Billing ユーザーガイドの Billing and Cost Management コンソールへのアクセスを有効にするを参照してください。

AWS マネジメントコンソール
メンバーアカウントから組織を退会するには

  1. AWS Organizations コンソールで AWS Organizations コンソールにサインインします。メンバーアカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

    デフォルトでは、 を使用して作成されたメンバーアカウントのルートユーザーパスワードにアクセスすることはできません AWS Organizations。必要に応じて、を使用して組織のメンバーアカウントにアクセスする AWS Organizations で「ルートユーザーの使用 (日常的なタスクには推奨されません)」の手順に従って、ルートユーザーのパスワードを復元します。

  2. Organizations ダッシュボードページで、[この組織を離れる] を選択します。

  3. [組織を離れることを確認する] ダイアログボックスで、[組織を離れる] を選択します。プロンプトが表示されたら、アカウントの削除を確認します。確認後、 AWS Organizations コンソールの開始方法ページにリダイレクトされ、アカウントが他の組織に参加するための保留中の招待を表示できます。

    [まだ組織を離れることはできません] というメッセージが表示される場合、アカウントにはスタンドアロンアカウントとして運営するために必要なすべての情報が揃っていません。この場合は、次のステップに進みます。

  4. [組織を離れることを確認する] ダイアログボックスに [まだ組織を離れることはできません] というメッセージが表示される場合、[アカウントのサインアップステップを完了する] というリンクを選択します。

    [アカウントサインアップ手順の完了] リンクが表示されない場合は、このリンクを使用して [ AWSへのサインアップ] ページに移動し、不足している登録手順を完了します。

  5. [ AWS にサインアップする] ページで、スタンドアロンアカウントになるために必要な情報をすべて入力します。これには、以下の種類の情報が含まれる場合があります。

    • 連絡先名と住所

    • 有効な支払い方法

    • 電話番号による確認

    • サポートプランオプション

  6. サインアッププロセスが完了したことを示すダイアログボックスが表示されたら、[Leave organization] を選択します。

    確認のダイアログボックスが表示されます。アカウントを削除するには、その選択を確認します。 AWS Organizations コンソールの開始方法ページにリダイレクトされ、アカウントが他の組織に参加するための保留中の招待を表示できます。

  7. アカウントへのアクセスを付与する IAM ロールを組織から削除します。

    重要

    組織で作成されたアカウントの場合、組織の管理アカウントによるアクセスを有効にするための IAM ロールが、Organizations によってアカウントに自動的に作成されています。招待されたアカウントの場合、Organizations によってこのようなロールが自動で作成されることはありませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、この IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、「IAM ユーザーガイド」の「ロールまたはインスタンスプロファイルを削除する」を参照してください。

AWS CLI & AWS SDKs
メンバーアカウントとして組織を離れるには

組織を登録解除するには、次のいずれかのコマンドを使用します。

  • AWS CLI: leave-organization

    次の例では、アカウントの認証情報を使用し、組織を離れるコマンドを実行しています。

    $ aws organizations leave-organization

    このコマンドが成功した場合、出力は生成されません。

  • AWS SDKs: LeaveOrganization

メンバーアカウントが組織を離れたら、アカウントへのアクセスを付与する IAM ロールを組織から削除します。

重要

組織で作成されたアカウントの場合、組織の管理アカウントによるアクセスを有効にするための IAM ロールが、Organizations によってアカウントに自動的に作成されています。招待されたアカウントの場合、Organizations によってこのようなロールが自動で作成されることはありませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、この IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、「IAM ユーザーガイド」の「ロールまたはインスタンスプロファイルを削除する」を参照してください。

代わりの方法として、メンバーアカウントは、管理アカウントのユーザーが remove-account-from-Organization を使用して削除することもできます。詳細については、「組織からメンバーアカウントを削除する」を参照してください。