기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 를 사용하여 멤버 계정 관리 AWS Organizations
<a name="orgs-manage_accounts_members"></a>

*멤버 계정*은 관리 계정이 AWS 계정아닌 조직의 일부인 입니다.

이 주제에서는를 사용하여 멤버 계정을 관리하는 방법을 설명합니다 AWS Organizations.

**Topics**
+ [멤버 계정의 모범 사례](orgs_best-practices_member-acct.md)
+ [멤버 계정 생성](orgs_manage_accounts_create.md)
+ [멤버 계정 액세스](orgs_manage_accounts_access.md)
+ [멤버 계정 닫기](orgs_manage_accounts_close.md)
+ [해지하지 않도록 멤버 계정 보호](orgs_account_close_policy.md)
+ [멤버 계정 제거](orgs_manage_accounts_remove.md)
+ [멤버 계정에서 조직 탈퇴](orgs_manage_accounts_leave-as-member.md)
+ [멤버 계정의 계정 이름 업데이트](orgs_manage_accounts_update_name.md)
+ [멤버 계정의 루트 사용자 이메일 업데이트](orgs_manage_accounts_update_primary_email.md)

# 멤버 계정의 모범 사례
<a name="orgs_best-practices_member-acct"></a>

조직의 멤버 계정 보안을 유지하려면 다음 권장 사항을 따르십시오. 이러한 권장 사항에서는 [루트 사용자가 실제로 필요한 작업에만 루트 사용자를 사용하는 모범 사례 또한 준수한다고](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) 가정합니다.

**Topics**
+ [계정 이름 및 속성 정의](#bp_member-acct_define-acct)
+ [환경 및 계정 사용의 효율적 확장](#bp_member-acct_efficiently-scale)
+ [루트 액세스 관리를 활성화하여 멤버 계정의 루트 사용자 자격 증명 관리 단순화](#bp_member-acct_root-access-management)

## 계정 이름 및 속성 정의
<a name="bp_member-acct_define-acct"></a>

멤버 계정의 경우 계정 용도를 반영하는 명명 구조와 이메일 주소를 사용하십시오. 예를 들어, `WorkloadsFooADev`에는 `Workloads+fooA+dev@domain.com`, `WorkloadsFooBDev`에는 `Workloads+fooB+dev@domain.com` 등입니다. 조직에 대해 정의된 사용자 지정 태그가 있는 경우, 해당 태그는 계정 사용량, 비용 센터, 환경 및 프로젝트를 반영하는 계정에 할당하는 것이 좋습니다. 이렇게 하면 계정을 쉽게 식별, 구성, 검색할 수 있습니다.

## 환경 및 계정 사용의 효율적 확장
<a name="bp_member-acct_efficiently-scale"></a>

확장할 때 새 계정을 생성하기 전에 불필요한 중복을 방지하기 위해 유사한 요구 사항에 대한 계정이 아직 존재하지 않는지 확인합니다.는 공통 액세스 요구 사항을 기반으로 해야 AWS 계정 합니다. 샌드박스 계정 등의 계정을 재사용하려는 경우 계정에서 불필요한 리소스나 워크로드를 정리하되 나중에 사용할 수 있도록 계정을 저장해 두는 것이 좋습니다.

계정을 해지하기 전에 해지 계정 할당량 한도가 적용된다는 점을 참고하세요. 자세한 내용은 [AWS Organizations에 대한 할당량 및 서비스 제한](orgs_reference_limits.md) 단원을 참조하십시오. 가능하면 계정을 해지하고 새 계정을 만드는 대신 계정을 재사용하는 정리 프로세스를 구현하는 것이 좋습니다. 이렇게 하면 리소스 실행으로 인한 비용 발생과 [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) 한도에 도달하는 것을 방지할 수 있습니다.

## 루트 액세스 관리를 활성화하여 멤버 계정의 루트 사용자 자격 증명 관리 단순화
<a name="bp_member-acct_root-access-management"></a>

멤버 계정의 루트 사용자 자격 증명을 모니터링하고 제거하는 데 도움이 되도록 루트 액세스 관리를 활성화하는 것이 좋습니다. 루트 액세스 관리는 루트 사용자 자격 증명 복구를 방지하여 조직의 계정 보안을 개선합니다.
+ 멤버 계정 루트 사용자 자격 증명을 제거하여 루트 사용자의 계정 복구를 방지합니다. 이는 또한 멤버 계정이 루트 사용자를 복구하지 못하게 합니다.
+ 권한 있는 세션을 맡아 멤버 계정에서 다음 작업을 수행합니다.
  + 모든 위탁자의 Amazon S3 버킷 액세스를 거부하는 잘못 구성된 버킷 정책을 제거합니다.
  + 모든 위탁자가 Amazon SQS 대기열에 액세스하는 것을 거부하는 Amazon Simple Queue Service 리소스 기반 정책을 삭제합니다.
  + 멤버 계정이 루트 사용자 자격 증명을 복구하도록 허용합니다. 그러면 멤버 계정의 루트 사용자 이메일 받은 편지함에 액세스할 수 있는 사람이 루트 사용자 암호를 재설정하고 멤버 계정 루트 사용자로 로그인할 수 있습니다.

루트 액세스 관리가 활성화된 후 새로 생성된 멤버 계정은 보안 내재화되며 루트 사용자 자격 증명이 없으므로 프로비저닝 후 MFA와 같은 추가 보안이 필요하지 않습니다.

자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [멤버 계정의 루트 사용자 자격 증명 중앙 집중화](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)를 참조하세요.

### SCP를 사용하여 멤버 계정의 루트 사용자가 수행할 수 있는 작업을 제한합니다.
<a name="bp_member-acct_use-scp"></a>

조직에서 서비스 제어 정책(SCP)을 만들고 조직의 루트에 연결하여 모든 멤버 계정에 적용하는 것이 좋습니다. 자세한 내용은 [조직 계정 루트 사용자 보안 인증 보안](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations)을 참조하십시오.

멤버 계정에서 수행해야 하는 특정 루트 전용 작업을 제외한 모든 루트 작업을 거부할 수 있습니다. 예를 들어 다음 SCP는 멤버 계정의 루트 사용자가 “잘못 구성된 S3 버킷 정책 업데이트 및 모든 보안 주체에 대한 액세스 거부”(루트 자격 증명이 필요한 작업 중 하나)를 제외하고 AWS 서비스 API를 호출하지 못하도록 합니다. 자세한 내용은 *IAM 사용 설명서*의 [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) 을 참조하세요.

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction":[
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:DeleteBucketPolicy"
                 ],
            "Resource": "*",
            "Condition": {
 "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
            }
        }
    ]
 }
```

------

대부분의 상황에서 모든 관리 작업은 관련 관리자 권한을 보유한 멤버 계정의 AWS Identity and Access Management (IAM) 역할로 수행할 수 있습니다. 이러한 역할에는 활동을 제한하고, 기록하고, 모니터링하는 적절한 제어 기능이 적용되어야 합니다.

# 를 사용하여 조직에 멤버 계정 생성 AWS Organizations
<a name="orgs_manage_accounts_create"></a>

이 주제에서는 조직 AWS 계정 내에서를 생성하는 방법을 설명합니다 AWS Organizations. 단일 생성에 대한 자세한 내용은 [시작하기 리소스 센터를](https://aws.amazon.com/getting-started/) AWS 계정참조하세요.

## 멤버 계정 생성 전 고려 사항
<a name="orgs_manage_accounts_create-considerations"></a>

**조직은 멤버 계정에 대한 `OrganizationAccountAccessRole` IAM 역할을 자동으로 생성**

조직 내 멤버 계정을 생성할 때 Organizations는 멤버 계정 내에 `OrganizationAccountAccessRole` IAM 역할을 자동적으로 생성하여 관리 계정 내 사용자 및 역할이 멤버 계정에 대한 전체 관리 제어를 사용할 수 있도록 합니다. 정책이 업데이트될 때마다 동일한 관리형 정책에 연결된 추가 계정이 자동으로 업데이트됩니다. 이 역할에는 멤버 계정에 적용되는 모든 [서비스 제어 정책(SCP)](orgs_manage_policies_scps.md)이 적용됩니다.

**조직은 멤버 계정에 대한 `AWSServiceRoleForOrganizations` 서비스 연결 역할을 자동으로 생성**

조직에서 멤버 계정을 생성하면 Organizations는 일부 서비스와 통합할 수 있는 AWS 서비스 연결 역할을 `AWSServiceRoleForOrganizations` 멤버 계정에 자동으로 생성합니다. 다른 서비스가 통합을 허용하도록 구성해야 합니다. 자세한 내용은 [AWS Organizations 및 서비스 연결 역할](orgs_integrate_services.md#orgs_integrate_services-using_slrs) 단원을 참조하십시오.

**멤버 계정은 조직의 루트에서만 생성 가능**

조직의 멤버 계정은 조직의 루트에서만 생성 가능합니다. 조직의 멤버 계정 루트를 생성한 후에는 OU 간에 루트를 이동할 수 있습니다. 자세한 내용은 [를 사용하여 계정을 조직 단위(OU)로 또는 루트와 OUs 간에 이동 AWS Organizations](move_account_to_ou.md) 단원을 참조하십시오.

**루트에 연결된 정책은 즉시 적용**

루트에 연결된 정책이 있는 경우 생성된 계정의 모든 사용자 및 역할에 해당 정책이 즉시 적용됩니다.

조직의 [다른 AWS 서비스에 대한 서비스 신뢰를 활성화](orgs_integrate_services_list.md)한 경우 해당 신뢰할 수 있는 서비스는 서비스 연결 역할을 생성하거나 생성된 계정을 포함하여 조직의 모든 멤버 계정에서 작업을 수행할 수 있습니다.

**마케팅 이메일을 수신하려면 멤버 계정 반드시 옵트인**

조직의 일부로 생성한 멤버 계정은 AWS 마케팅 이메일을 자동으로 구독하지 않습니다. 마케팅 이메일을 수신하도록 계정을 옵트인하려면 [https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences)을(를) 참조하세요.

**에서 관리하는 조직의 멤버 계정은에서 생성 AWS Control Tower 해야 합니다. AWS Control Tower** 

에서 조직을 관리하는 경우 AWS Control Tower 콘솔의 계정 팩토리를 사용하거나 AWS Control Tower APIs를 사용하여 멤버 AWS Control Tower 계정을 생성하는 AWS Control Tower것이 좋습니다.

조직을 관리할 때 Organizations에서 멤버 계정을 생성하면 AWS Control Tower계정이 등록되지 않습니다 AWS Control Tower. 자세한 내용은 *AWS Control Tower 사용 설명서*의 [AWS Control Tower외부 리소스 참조](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources)를 참조하세요.

## 멤버 계정 생성
<a name="orgs_manage_accounts_create-new"></a>

조직의 관리 계정에 로그인하면 조직의 일부가 되는 멤버 계정을 생성할 수 있습니다.

다음 절차를 사용하여 계정을 생성하면가 관리 계정에서 새 멤버 계정으로 다음 **기본 연락처** 정보를 AWS Organizations 자동으로 복사합니다.
+ 전화번호
+ 회사 이름
+ 웹사이트 URL
+ Address

또한 Organizations는 관리 계정에서 통신 언어 및 Marketplace 정보(일부 계정의 공급업체 AWS 리전)를 복사합니다.

**최소 권한**  
조직의 멤버 계정을 만들려면 다음과 같은 권한이 있어야 합니다.  
`organizations:DescribeOrganization` – Organizations 콘솔을 사용하는 경우에만 필요합니다.
`organizations:CreateAccount`

### AWS Management Console
<a name="orgs_manage_accounts_create-new-console"></a>

**조직의 일부 AWS 계정 인를 자동으로 생성하려면**

1. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다.

1. **[AWS 계정](https://console.aws.amazon.com/organizations/v2/home/accounts)** 페이지에서 ** AWS 계정추가**를 선택합니다.

1. **[ 추가 AWS 계정](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**페이지에서 **생성 AWS 계정**을 선택합니다(기본으로 선택되어 있음).

1. **[ 생성 AWS 계정](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** 페이지의 **AWS 계정 이름**에서 계정에 할당할 이름을 입력합니다. 이 이름은 계정을 조직 내 다른 모든 계정과 구분하는 데 도움이 되며, 소유자의 IAM 별칭이나 이메일 이름과는 다릅니다.

1. **계정 소유자의 이메일 주소(Email address of the account's owner)**에 계정 소유자의 이메일 주소를 입력합니다. 이 이메일 주소는 계정의 루트 사용자의 사용자 이름 자격 증명이 AWS 계정 되므로 이미 다른와 연결할 수 없습니다.

1. (선택 사항) 새 계정에서 자동으로 생성되는 IAM 역할에 할당할 이름을 지정합니다. 이 역할은 새로 만든 멤버 계정에 액세스할 수 있는 권한을 조직의 관리 계정에 부여합니다. 이름을 지정하지 않으면는 역할에의 기본 이름을 AWS Organizations 부여합니다`OrganizationAccountAccessRole`. 일관성을 위해 모든 계정에 기본 이름을 사용하는 것이 좋습니다.
**중요**  
이 역할 이름을 기억해 두세요. 나중에 관리 계정을 이용하는 사용자 및 역할에게 새 계정에 대한 액세스 권한을 부여할 때 필요합니다.

1. (선택 사항) **태그** 섹션에서 **태그 추가**를 선택하고 키 및 값(선택 사항)을 입력하여 새 계정에 하나 이상의 태그를 추가합니다. 값을 공백으로 남겨두면 `null`이 아닌 빈 문자열로 설정됩니다. 계정에는 최대 50개의 태그를 연결할 수 있습니다.

1. **생성(Create) AWS 계정**을 선택합니다.
   + 조직의 계정 할당량을 초과했음을 나타내는 오류가 발생하면 [조직에 계정을 추가하려고 하면 "할당량 초과" 메시지가 표시됩니다.](orgs_troubleshoot.md#troubleshoot_general_error-adding-account) 단원을 참조하세요.
   + 조직이 아직 초기화되고 있기 때문에 계정을 추가할 수 없음을 나타내는 오류가 발생하면 한 시간 동안 기다렸다가 다시 시도하세요.
   +  AWS CloudTrail 로그에서 계정 생성 성공 여부에 대한 정보를 확인할 수도 있습니다. 자세한 내용은 [에서 로깅 및 모니터링 AWS Organizations](orgs_security_incident-response.md) 단원을 참조하십시오.
   + 오류가 지속될 경우 [AWS Support](https://console.aws.amazon.com/support/home#/)에 문의하세요.

   **[AWS 계정](https://console.aws.amazon.com/organizations/v2/home/accounts)** 페이지가 나타나고 새 계정이 목록에 추가됩니다.

1. 이제 계정이 존재하고 관리 계정에서 사용자에게 관리자 액세스 권한을 부여하는 IAM 역할을 갖게 되었으므로 [를 사용하여 조직의 멤버 계정에 액세스 AWS Organizations](orgs_manage_accounts_access.md)의 단계에 따라 계정에 액세스할 수 있습니다.

### AWS CLI & AWS SDKs
<a name="orgs_manage_accounts_create-new-cli-sdk"></a>

다음 코드 예시는 `CreateAccount`의 사용 방법을 보여 줍니다.

------
#### [ .NET ]

**SDK for .NET**  
 GitHub에 더 많은 내용이 있습니다. [AWS 코드 예 리포지토리](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)에서 전체 예를 찾고 설정 및 실행하는 방법을 배워보세요.

```
    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }
```
+  API 세부 정보는 *AWS SDK for .NET API 참조*의 [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)를 참조하세요.

------
#### [ CLI ]

**AWS CLI**  
**자동으로 조직의 일부가 되는 멤버 계정을 생성하는 방법**  
다음 예시에서는 조직 내에 멤버 계정을 생성하는 방법을 보여줍니다. 멤버 계정은 Production Account라는 이름과 susan@example.com이라는 이메일 주소로 구성됩니다. roleName 파라미터가 지정되지 않았으므로 Organizations는 OrganizationAccountAccessRole의 기본 이름을 사용하여 IAM 역할을 자동으로 생성합니다. 또한 IamUserAccessToBilling 파라미터가 지정되지 않았으므로 IAM 사용자 또는 역할에 계정 결제 데이터에 액세스할 수 있는 충분한 권한을 허용하는 설정은 기본값인 ALLOW로 설정됩니다. Organizations는 Susan에게 "Welcome to AWS" 이메일을 자동으로 보냅니다.  

```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
출력에는 현재 `IN_PROGRESS` 상태임을 보여주는 요청 객체가 포함됩니다.  

```
{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}
```
나중에 describe-create-account-status 명령에 대한 Id 응답 값을 create-account-request-id 파라미터의 값으로 제공하여 요청의 현재 상태를 쿼리할 수 있습니다.  
자세한 내용은 *AWS Organizations 사용 설명서의 조직에서* AWS 계정 생성을 참조하세요.  
+  API 세부 정보는 *AWS CLI 명령 참조*의 [CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)를 참조하세요.

------

# 를 사용하여 조직의 멤버 계정에 액세스 AWS Organizations
<a name="orgs_manage_accounts_access"></a>

조직에서 계정을 생성하면AWS Organizations 에서는 루트 사용자 외에 기본적으로 `OrganizationAccountAccessRole`이라는 IAM 역할을 자동으로 생성합니다. 이름을 생성할 때 다른 이름을 지정할 수 있지만 모든 계정에서 일관되게 이름을 지정하는 것이 좋습니다. AWS Organizations 는 다른 사용자 또는 역할을 생성하지 않습니다.

조직 내 계정에 액세스하려면 다음 방법 중 하나를 사용해야 합니다.

**최소 권한**  
조직의 다른 계정 AWS 계정 에서에 액세스하려면 다음 권한이 있어야 합니다.  
`sts:AssumeRole` – `Resource` 요소는 별표(\$1), 또는 새로운 멤버 계정에 액세스해야 하는 사용자의 계정 ID 번호로 설정해야 합니다.

------
#### [ Using the root user (Not recommended for everyday tasks) ]

조직에서 새 멤버 계정을 생성할 때 계정에는 기본적으로 루트 사용자 자격 증명이 없습니다. 계정 복구가 활성화되지 않으면 멤버 계정은 루트 사용자로 로그인하거나 루트 사용자의 암호 복구를 수행할 수 없습니다.

[멤버 계정에 대한 루트 액세스를 중앙 집중화](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)한 후 조직의 기존 멤버 계정에서 루트 사용자 자격 증명을 제거할 수 있습니다. 루트 사용자 자격 증명을 삭제하면 루트 사용자 암호, 액세스 키, 서명 인증서가 제거되고 멤버 계정의 다중 인증(MFA)이 비활성화됩니다. 이러한 멤버 계정은 루트 사용자 자격 증명이 없고, 루트 사용자로 로그인할 수 없으며, 루트 사용자 암호를 복구할 수 없습니다. Organizations에서 생성하는 새 계정에는 기본적으로 루트 사용자 자격 증명이 없습니다.

루트 사용자 자격 증명이 없는 멤버 계정에서 루트 사용자 자격 증명이 필요한 작업을 수행해야 하는 경우 관리자에게 문의합니다.

루트 사용자로 멤버 계정에 액세스하려면 암호 복구 프로세스를 거쳐야 합니다. 자세한 정보는 *AWS 로그인 사용 설명서*의 [내 AWS 계정의 루트 사용자 암호를 잊음](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password)을 참조하세요.

루트 사용자로 멤버 계정에 액세스해야 하는 경우 다음 모범 사례를 따르세요.
+ 권한이 더욱 제한된 다른 사용자 역할을 만드는 경우를 제외하고는 루트 사용자로 계정에 액세스하지 않습니다. 그런 다음 해당 사용자나 역할로 로그인하세요.
+ [루트 사용자에서 다중 인증(MFA) 활성화](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa) 암호를 재설정한 후 [루트 사용자에게 MFA 디바이스를 할당](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)합니다.

루트 사용자로 로그인해야 하는 전체 작업 목록은 *IAM 사용 설명서*의 [루트 사용자 보안 인증이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 참조하세요. 추가 루트 사용자 보안 권장 사항은 *IAM 사용 설명서*의 [AWS 계정의 루트 사용자 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)를 참조하세요.

------
#### [ Using trusted access for IAM Identity Center ]

[AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)에서 IAM Identity Center에 대한 신뢰할 수 있는 액세스를 사용하고 활성화합니다 AWS Organizations. 이를 통해 사용자는 회사 자격 증명으로 AWS 액세스 포털에 로그인하고 할당된 관리 계정 또는 멤버 계정의 리소스에 액세스할 수 있습니다.

자세한 내용은 *AWS IAM Identity Center 사용 설명서*의 [다중 계정 권한](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html)을 참조하세요. IAM Identity Center의 신뢰할 수 있는 액세스 설정에 대한 자세한 내용은 [AWS IAM Identity Center 및 AWS Organizations](services-that-can-integrate-sso.md) 단원을 참조하세요.

------
#### [ Using the IAM role OrganizationAccountAccessRole ]

의 일부로 제공된 도구를 사용하여 계정을 생성하는 경우 이러한 방식으로 생성하는 모든 새 계정에 `OrganizationAccountAccessRole` 있는 라는 미리 구성된 역할을 사용하여 계정에 액세스할 AWS Organizations수 있습니다. 자세한 내용은 [를 사용하여 OrganizationAccountAccessRole이 있는 멤버 계정에 액세스 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md) 단원을 참조하십시오.

기존 계정을 조직에 가입하도록 초대하고 해당 계정에서 초대를 수락한 경우, 초대받은 멤버 계정에 관리 계정이 액세스할 수 있게 허용하는 IAM 역할을 생성할 수 있습니다. 이 역할은 AWS Organizations를 사용하여 만든 계정에 자동으로 추가된 역할과 동일합니다.

이 역할을 생성하려면 [를 사용하여 초대된 계정에 대한 OrganizationAccountAccessRole 생성 AWS Organizations](orgs_manage_accounts_create-cross-account-role.md) 단원을 참조하세요.

역할을 생성한 후에는 [를 사용하여 OrganizationAccountAccessRole이 있는 멤버 계정에 액세스 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)에 있는 단계를 이용해 역할에 액세스할 수 있습니다.

------

**Topics**
+ [IAM 액세스 역할 생성](orgs_manage_accounts_create-cross-account-role.md)
+ [IAM 액세스 역할 사용](orgs_manage_accounts_access-cross-account-role.md)

# 를 사용하여 초대된 계정에 대한 OrganizationAccountAccessRole 생성 AWS Organizations
<a name="orgs_manage_accounts_create-cross-account-role"></a>

조직의 일부인 멤버 계정을 생성했다면 AWS 는 기본적으로 역할을 맡을 수 있는 관리 계정의 IAM 사용자에게 관리자 권한을 부여하는 계정에 역할을 자동으로 생성합니다. 기본적으로 역할 이름은 `OrganizationAccountAccessRole`입니다. 자세한 정보는 [를 사용하여 OrganizationAccountAccessRole이 있는 멤버 계정에 액세스 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)을 참조하세요.

그러나 조직에 *초대*한 멤버 계정은 생성한 관리자 역할을 자동으로 받지 ***않습니다***. 다음 절차에 따라 직접 획득해야 합니다. 이 작업은 생성된 계정을 위해 자동으로 설정된 역할을 복제합니다. 일관성을 유지하고 기억하기 쉽도록 되도록 직접 만든 역할과 같은 이름인 `OrganizationAccountAccessRole`을 사용하세요.

------
#### [ AWS Management Console ]

**멤버 계정에서 AWS Organizations 관리자 역할을 생성하려면**

1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔에 로그인합니다. 멤버 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 수임하거나, 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다. 사용자 또는 역할에게 IAM 역할 및 정책을 생성할 권한이 있어야 합니다.

1. IAM 콘솔에서 **역할**로 이동한 후 **역할 생성**을 선택합니다.

1. **AWS 계정**를 선택한 다음 **다른 AWS 계정**를 선택합니다.

1. 관리자 액세스를 부여하려는 관리 계정의 12자리 계정 ID 번호를 입력합니다. **옵션**에서 다음 사항에 유의하세요.
   + 계정은 회사 내부의 계정이기 때문에 이 역할에 대해 **외부 ID 필요(Require external ID)**를 선택해서는 **안 됩니다**. 외부 ID 옵션에 대한 자세한 내용은 *IAM 사용 설명서*의 [언제 외부 ID를 사용해야 하나요?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use)를 참조하세요.
   + MFA를 활성화하고 구성했다면 멀티 팩터 인증 장치를 이용한 인증을 요구하게 할 수도 있습니다. MFA에 관한 자세한 내용은 *IAM 사용 설명서*의 [AWS에서 다중 인증(MFA) 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)을 참조하세요.

1. **다음**을 선택합니다.

1. **권한 추가** 페이지에서 `AdministratorAccess`라는 AWS 관리형 정책을 선택한 후 **다음**을 선택합니다.

1. **이름 지정, 검토 및 생성** 페이지에서 역할 이름과 설명(선택 사항)을 입력합니다. 되도록 새 계정의 역할에 할당된 기본 이름과 동일한 `OrganizationAccountAccessRole`을 사용하세요. [**Create role**]을 선택하여 변경 사항을 커밋합니다.

1. 새로운 역할이 이용 가능한 역할 목록에 표시됩니다. 새 역할의 이름을 선택하여 세부 정보를 봅니다. 제공된 링크 URL에 특히 유의해야 합니다. 이 URL을 역할에 액세스해야 하는 멤버 계정 사용자에게 제공합니다. 또한 15단계에서 필요하므로 **역할 ARN**을 기록해 두세요.

1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔에 로그인합니다. 이번에는 정책을 만들어서 사용자나 그룹에 할당할 권한이 있는 관리 계정의 사용자로 로그인합니다.

1. **정책**으로 이동한 후 **정책 생성**을 선택합니다.

1. [**Service**]에서 [**STS**]를 선택합니다.

1. **작업(Actions)**에서 **필터** 상자에 **AssumeRole**을 입력하기 시작하고 해당 항목이 나타나면 그 옆에 있는 확인란을 선택합니다.

1. **리소스**에서 **특정**을 선택했는지 확인한 후 **ARN 추가**를 선택합니다.

1.  AWS 멤버 계정 ID 번호를 입력한 다음 1\$18단계에서 이전에 생성한 역할의 이름을 입력합니다. **ARN 추가**를 선택합니다.

1. 여러 멤버 계정의 역할을 맡는 권한을 부여하는 경우 각 계정에 대해 14단계 및 15단계를 반복합니다.

1. **다음**을 선택합니다.

1. **검토 및 생성** 페이지에서 새 정책의 이름을 입력하고 **정책 생성**을 선택하여 변경 사항을 저장합니다.

1. 탐색 창에서 **사용자 그룹**을 선택한 다음 멤버 계정의 관리를 위임하는 데 사용하려는 그룹의 이름(확인란이 아니라)을 선택합니다.

1. **권한** 탭을 선택합니다.

1. **권한 추가**를 선택하고**정책 연결**을 선택한 다음 11\$118단계에서 생성한 정책을 선택합니다.

------

선택한 그룹의 멤버인 사용자는 이제 9단계에서 캡처한 URL을 이용해 멤버 계정의 역할에 액세스할 수 있습니다. 이들은 조직에서 사용자가 생성한 계정에 액세스할 때와 같은 방식으로 멤버 계정에 액세스할 수 있습니다. 역할을 이용해 멤버 계정을 관리하는 방법에 대한 자세한 내용은 [를 사용하여 OrganizationAccountAccessRole이 있는 멤버 계정에 액세스 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)을(를) 참조하세요.

# 를 사용하여 OrganizationAccountAccessRole이 있는 멤버 계정에 액세스 AWS Organizations
<a name="orgs_manage_accounts_access-cross-account-role"></a>

 AWS Organizations 콘솔을 사용하여 멤버 계정을 생성하면가 `OrganizationAccountAccessRole` 계정에 라는 IAM 역할을 AWS Organizations *자동으로* 생성합니다. 이 역할은 멤버 계정에 대한 완전한 관리 권한을 갖습니다. 이 역할에 대한 액세스 범위에는 관리 계정의 모든 보안 주체가 포함되며, 조직의 관리 계정에 해당 액세스 권한을 부여하도록 역할이 구성됩니다.

[를 사용하여 초대된 계정에 대한 OrganizationAccountAccessRole 생성 AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)에 있는 단계를 이용하면 초대한 멤버 계정과 같은 역할을 만들 수 있습니다.

이 역할을 이용해 멤버 계정에 액세스하려면, 역할을 맡을 수 있는 권한이 있는 관리 계정에서 사용자로 로그인해야 합니다. 이러한 권한을 구성하려면 다음 절차를 수행해야 합니다. 관리 용이성을 위해 되도록 사용자 대신 그룹에 권한을 부여하세요.

------
#### [ AWS Management Console ]

**역할 액세스를 위해 관리 계정에 있는 IAM 그룹의 멤버에게 권한을 부여하려면**

1. 관리 계정에서 관리자 권한이 있는 사용자로 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)의 IAM 콘솔에 로그인합니다. 해당 사용자가 멤버 계정의 역할에 액세스하도록 IAM 그룹에 권한을 위임하기 위해 필요한 작업입니다.

1. <a name="step-create-policy"></a>[Step 14](#step-choose-group)에서 나중에 필요한 관리형 정책 생성부터 시작합니다.

   탐색 창에서 **정책**을 선택한 후 **정책 생성**을 선택합니다.

1. Visual 편집기 탭에서 **서비스 선택**을 선택하고 검색 상자에 **STS**를 입력하여 목록을 필터링한 다음 **STS** 옵션을 선택합니다.

1. **작업** 섹션에서 검색 상자를 **assume**을 입력하여 목록을 필터링한 다음 **AssumeRole** 옵션을 선택합니다.

1. **리소스** 섹션에서 **특정**을 선택하고**ARN 추가**를 선택합니다.

1. **ARN 지정** 섹션에서 리소스에 대한 **기타 계정**을 선택합니다.

1. 방금 생성한 멤버 계정의 ID를 입력합니다.

1. **경로가 포함된 리소스 역할 이름**에 이전 섹션에서 생성한 역할의 이름을 입력합니다(`OrganizationAccountAccessRole`로 이름 지정 권장).

1. 대화 상자에 올바른 ARN이 표시되면 **ARN 추가**를 선택합니다.

1. (선택 사항) 멀티 팩터 인증(MFA)을 요구하거나 지정된 IP 주소 범위에서 역할에 대한 액세스를 제한하려면 요청 조건 섹션을 확장하고 적용할 옵션을 선택합니다.

1. **다음**을 선택합니다.

1. **검토 및 생성** 페이지에 새 정책 이름을 입력합니다. 예: **GrantAccessToOrganizationAccountAccessRole**. 또한 설명(선택 사항)을 추가할 수도 있습니다.

1. <a name="step-end-policy"></a>**정책 생성**을 선택하여 새로운 관리형 정책을 저장합니다.

1. <a name="step-choose-group"></a>정책을 사용할 수 있으므로 그룹에 연결할 수 있습니다.

   탐색 창에서 **사용자 그룹**을 선택하고, 멤버 계정에서 역할을 수임하도록 하고 싶은 멤버의 그룹 이름(확인란이 아니라)을 선택합니다. 필요한 경우 그룹을 새로 만들어도 됩니다.

1. **권한** 탭을 선택하고 **권한 추가**, **정책 연결**을 차례로 선택합니다.

1. (선택 사항) **검색** 상자에 [Step 2](#step-create-policy)에서 [Step 13](#step-end-policy)까지 방금 생성한 정책의 이름이 표시될 때까지 정책 이름을 입력하여 목록을 필터링할 수 있습니다. **모든 정책**을 선택한 다음 **고객 관리형**을 선택하여 모든 AWS 관리형 정책을 필터링할 수도 있습니다.

1. 정책 옆의 확인란을 선택한 다음 **정책 연결**을 선택합니다.

------

그룹의 멤버인 IAM 사용자는 이제 다음 절차에 따라 AWS Organizations 콘솔에서 새 역할로 전환할 수 있는 권한이 있습니다.

------
#### [ AWS Management Console ]

**멤버 계정의 역할로 전환하려면**

역할을 이용할 때, 사용자는 새 멤버 계정의 관리자 권한을 얻습니다. 새 역할로의 전환을 위해 그룹 멤버인 IAM 사용자에게 다음을 수행하도록 지시합니다.

1.  AWS Organizations 콘솔의 오른쪽 상단에서 현재 로그인 이름이 포함된 링크를 선택한 다음 **역할 전환을** 선택합니다.

1. 관리자가 제공한 계정 ID 번호와 역할 이름을 입력합니다.

1. **표시 이름**에 역할을 사용하는 동안 탐색 모음 오른쪽 위에 사용자 이름 대신 표시할 텍스트를 입력합니다. 색상을 선택할 수도 있습니다.

1. **역할 전환**을 선택합니다. 이제 수행하는 모든 작업은 전환한 역할에 부여된 권한으로 수행하게 됩니다. 다시 전환할 때까지는 원래 IAM 사용자와 관련된 권한을 더 이상 이용할 수 없습니다.

1. 역할의 권한이 필요한 작업을 수행 완료했으면, 다시 일반 IAM 사용자로 전환해도 됩니다. 상단 오른쪽 모서리 부분에 표시된 역할 이름(**표시 이름**에 지정한 이름)을 선택한 후 ***UserName*으로 돌아가기**를 선택합니다.

------

# 를 사용하여 조직의 멤버 계정 해지 AWS Organizations
<a name="orgs_manage_accounts_close"></a>

조직의 멤버 계정이 더 이상 필요하지 않으면 이 주제의 지침을 따라 [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)에서 계정을 해지할 수 있습니다. 조직이 [모든 기능](orgs_getting-started_concepts.md#feature-set-all) 모드에 있는 경우에만 AWS Organizations 콘솔을 사용하여 멤버 계정을 해지할 수 있습니다.

루트 사용자로 로그인한 AWS Management Console 후의 [**계정** 페이지에서](https://console.aws.amazon.com/billing/home#/account) AWS 계정 직접를 닫을 수도 있습니다. 단계별 지침은 *AWS 계정 관리 안내서*의 [AWS 계정해지](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html)를 참조하세요.

관리 계정을 해지하려면 [조직 내 관리 계정 해지](orgs_manage_accounts_close_management.md) 섹션을 참조하세요.

## 멤버 계정 해지
<a name="orgs_account_close_proc"></a>

조직의 관리 계정에 로그인하면 조직에 속한 멤버 계정을 해지할 수 있습니다. 이렇게 하려면 다음 단계를 완료하세요.

**중요**  
멤버 계정을 해지하기 전에 고려 사항을 검토하고 계정 해지의 영향을 이해하는 것이 좋습니다. 자세한 내용은 *AWS 계정 관리 안내서*의 [계정을 해지하기 전에 알아야 할 사항](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations)과 [계정을 해지한 후 예상되는 사항](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure)을 참조하세요.

------
#### [ AWS Management Console ]

**AWS Organizations 콘솔에서 멤버 계정을 닫으려면**

1. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다.

1. **[AWS 계정](https://console.aws.amazon.com/organizations/v2/home/accounts)** 페이지에서 해지하려는 멤버 계정의 이름을 찾아서 선택합니다. OU 계층 구조를 탐색하거나, OU 구조 없이 단순 계정 목록만 볼 수 있습니다.

1. 페이지 상단에 계정 이름 옆에 있는 **해지(Close)**를 선택합니다. 이 옵션은 AWS 조직이 [모든 기능](orgs_getting-started_concepts.md#feature-set-all) 모드에 있는 경우에만 사용할 수 있습니다.
**참고**  
[통합 결제](orgs_getting-started_concepts.md#feature-set-cb-only) 모드를 사용하는 조직은 콘솔에서 **닫기** 버튼이 보이지 않습니다. 통합 결제 모드에서 계정을 해지하려면 루트 사용자로 해지하려는 계정에 로그인합니다. **계정** 페이지에서 **계정 해지** 버튼을 선택하고 계정 ID를 입력한 다음 **계정 해지** 버튼을 선택합니다.

1. 계정 해지 지침을 읽고 이해해야 합니다.

1. 멤버 계정 ID를 입력한 다음 **계정 해지**를 선택합니다.

**참고**  
해지하는 모든 멤버 계정은 원래 해지 날짜 후 최대 90일 동안 AWS Organizations 콘솔의 계정 이름 옆에 `CLOSED` 레이블을 표시합니다. 90일이 지나면 멤버 계정이 영구적으로 닫히고 AWS Organizations 콘솔에 더 이상 표시되지 않습니다. 영구 해지 후 조직에서 계정을 제거하는 데 며칠이 걸릴 수 있습니다.

**계정 페이지에서 멤버 계정을 해지하려면**

선택적으로의 계정 페이지에서 직접 AWS 멤버 **계정을** 해지할 수 있습니다 AWS Management Console. 단계별 지침은 *AWS 계정 관리 안내서*의 [AWS 계정해지](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) 지침을 따르세요.

------
#### [ AWS CLI & AWS SDKs ]

**를 닫으려면 AWS 계정**  
다음 명령 중 하나를 사용하여 AWS 계정을 해지할 수 있습니다.
+ AWS CLI: [close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)

  ```
  $ aws organizations close-account \
      --account-id 123456789012
  ```

  이 명령은 성공 시 출력을 생성하지 않습니다.
+ AWS SDKs: [CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)

------

# 를 사용하여 멤버 계정이 해지되지 않도록 보호 AWS Organizations
<a name="orgs_account_close_policy"></a>

멤버 계정이 우발적으로 해지되지 않도록 보호하고 싶다면 IAM 정책을 생성하여 해지가 면제되는 계정을 지정할 수 있습니다. 이 정책은 보호된 멤버 계정의 해지를 방지합니다.

다음 방법 중 하나를 사용하여 계정 해지를 거부하는 IAM 정책을 생성합니다.
+ ARN을 사용하여 정책의 `Resource` 요소에 보호된 계정을 명시적으로 나열합니다.
+ 개별 계정에 태그를 지정하고 `aws:ResourceTag` 전역 조건 키를 사용하여 태그가 지정된 계정이 해지되지 않도록 합니다.

**참고**  
서비스 제어 정책(SCP)은 관리 계정의 IAM 주체에 영향을 주지 않습니다.

## 멤버 계정 해지를 방지하는 IAM 정책 예제
<a name="orgs_close_account_policy_examples"></a>

다음 코드 예제는 멤버 계정이 계정을 해지하지 못하도록 제한하는 데 사용할 수 있는 두 가지 방법을 보여줍니다.

------
#### [ Prevent member accounts with tags from getting closed  ]

관리 계정의 자격 증명에 다음 정책을 연결할 수 있습니다. 이 정책은 `aws:ResourceTag` 태그 전역 조건`AccountType` 키, `Critical` 태그 값을 포함하여 태그 지정된 모든 멤버가 관리 계정의 보안 주체에 의해 해지되지 않도록 방지합니다.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
```

------
#### [ Prevent member accounts listed in this policy from getting closed ]

관리 계정의 자격 증명에 다음 정책을 연결할 수 있습니다. 이 정책은 관리 계정의 보안 주체가 `Resource` 요소에 명시적으로 지정된 멤버 계정을 해지하지 않도록 방지합니다.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}
```

------

# 를 사용하여 조직에서 멤버 계정 제거 AWS Organizations
<a name="orgs_manage_accounts_remove"></a>

 구성원 계정을 제거하면 해당 계정이 해지되는 것이 아니라 조직에서 해당 구성원 계정이 제거됩니다. 이전 멤버 계정은 더 이상에서 관리하지 AWS 계정 않는 독립 실행형 계정이 됩니다 AWS Organizations.

이후, 해당 계정에는 더 이상 정책이 적용되지 않으며 자체 청구서 결제에 대한 책임이 있습니다. 계정이 조직에서 제거된 후, 조직의 관리 계정은 해당 계정에서 발생한 비용에 대해 더 이상 청구되지 않습니다.

## 고려 사항
<a name="orgs_manage_account-before-remove"></a>

**관리 계정에서 생성한 IAM 액세스 역할은 자동으로 삭제되지 않음**

조직에서 멤버 계정을 제거해도 조직의 관리 계정으로 액세스할 수 있도록 생성된 IAM 역할은 자동으로 삭제되지 않습니다. 이전 조직의 관리 계정에서 이 액세스를 종료하려면 IAM 역할을 수동으로 삭제해야 합니다. 역할 삭제 방법에 대한 내용은 *IAM 사용 설명서*의 [역할 또는 인스턴스 프로필 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)를 참조하세요.

**계정에 독립 실행형 계정으로 작동하는 데 필요한 정보가 있는 경우에만 조직에서 계정 제거 가능**

계정에 독립형 계정으로 작동하는 데 필요한 정보가 있는 경우에만 조직에서 계정을 제거할 수 있습니다. AWS Organizations 콘솔, API 또는 AWS CLI 명령을 사용하여 조직에서 계정을 생성하면 독립 실행형 계정에 필요한 모든 정보가 자동으로 수집*되지* 않습니다.

독립 실행형으로 만들려는 각 계정에 대해 지원 플랜을 선택하고, 필요한 연락처 정보를 제공 및 확인하고, 현재 결제 방법을 제공해야 합니다.는 계정이 조직에 연결되어 있지 않은 동안 발생하는 청구 가능한( AWS 프리 티어가 아닌) AWS 활동에 대해 결제 방법을 AWS 사용하여 요금을 청구합니다. 아직 이 정보가 없는 계정을 제거하려면 [를 사용하여 멤버 계정에서 조직 탈퇴 AWS Organizations](orgs_manage_accounts_leave-as-member.md)의 단계를 따르세요.

**계정이 생성된 후 최소 4일이 지날 때까지 반드시 대기**

조직에서 생성된 계정을 제거하려면 계정을 만든 후 4일 이상 기다려야 합니다. 초대된 계정에는 이 대기 기간이 적용되지 않습니다.

**탈퇴하는 계정의 소유자에는 새로 발생하는 모든 비용에 대해 책임 있음**

계정이 조직을 성공적으로 떠나는 즉시의 소유자 AWS 계정 는 발생한 모든 새 AWS 비용에 대해 책임을 지며 계정의 결제 방법이 사용됩니다. 조직의 관리 계정은 더 이상 책임이 없습니다.

**계정은 조직에 대해 활성화된 AWS 서비스의 위임된 관리자 계정이 될 수 없습니다.**

제거하려는 계정은 조직에 대해 활성화된 AWS 서비스의 위임된 관리자 계정이 아니어야 합니다. 계정이 위임된 관리자인 경우 먼저 위임된 관리자 계정을 조직에 남아 있는 다른 계정으로 변경해야 합니다. AWS 서비스의 위임된 관리자 계정을 비활성화하거나 변경하는 방법에 대한 자세한 내용은 해당 서비스의 설명서를 참조하세요.

**계정은 더 이상 비용 및 사용량 데이터에 액세스할 수 없습니다.**

멤버 계정이 조직을 탈퇴할 때 해당 계정은 조직의 멤버였을 때의 시간 범위로부터 비용 및 사용량 데이터에 대한 액세스를 할 수 없습니다. 하지만 조직의 관리 계정은 여전히 데이터에 액세스할 수 있습니다. 멤버 계정이 조직에 다시 가입하면 계정은 다시 데이터에 액세스할 수 있습니다.

**계정에 연결된 태그 삭제됨**

멤버 계정이 조직을 나가면 계정에 연결된 모든 태그가 삭제됩니다.

**계정의 위탁자는 더 이상 조직에 적용된 정책의 영향을 받지 않음**

계정의 보안 주체는 더 이상 조직에 적용된 [정책](orgs_manage_policies.md)의 영향을 받지 않습니다. 즉, SCP에 의해 가해지는 제한이 사라지므로 해당 계정의 사용자와 역할은 이전보다 더 많은 권한을 갖게 될 수 있습니다. 다른 조직 정책 유형은 더 이상 적용하거나 처리할 수 없습니다.

**계정은 더 이상 조직 계약의 적용을 받지 않음**

조직에서 삭제된 멤버 계정에는 해당 조직 계약이 더 이상 적용되지 않습니다. 필요한 경우 멤버 계정이 새 계약을 체결할 수 있도록 관리 계정 관리자는 조직에서 멤버 계정을 삭제하기 전에 이 사실을 해당 멤버 계정에게 알려줘야 합니다. 활성 조직 계약 목록은 AWS Artifact 콘솔의 [AWS Artifact 조직 계약 페이지에서 볼 수 있습니다](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements).

**다른 서비스와의 통합이 비활성화될 수 있음**

다른 서비스와의 통합이 비활성화될 수 있습니다. AWS 서비스와의 통합이 활성화된 조직에서 계정을 제거하면 해당 계정의 사용자는 더 이상 해당 서비스를 사용할 수 없습니다.

## 조직에서 멤버 계정 제거
<a name="orgs_manage_accounts_remove-member-account"></a>

조직의 관리 계정에 로그인하면 조직에서 더 이상 필요 없는 멤버 계정을 제거할 수 있습니다. 이렇게 하려면 다음 절차를 완료하세요. 이 절차는 멤버 계정에만 적용됩니다. 관리 계정을 제거하려면 [조직을 삭제](orgs_manage_org_delete.md)해야 합니다.

**최소 권한**  
조직에서 하나 이상의 멤버 계정을 제거하려면 다음 권한이 있는 관리 계정의 사용자 또는 역할로 로그인해야 합니다.  
`organizations:DescribeOrganization` – Organizations 콘솔을 사용하는 경우에만 필요합니다.
`organizations:RemoveAccountFromOrganization` 
5단계에서 멤버 계정의 사용자 또는 역할로 로그인하도록 선택할 경우 해당 사용자 또는 역할은 다음 권한이 있어야 합니다.  
`organizations:DescribeOrganization` – Organizations 콘솔을 사용하는 경우에만 필요합니다.
`organizations:LeaveOrganization` – 조직 관리자는 이 권한을 제거한 계정에 정책을 적용하여 조직에서 계정을 제거하지 못하도록 할 수 있습니다.
IAM 사용자로 로그인했는데 계정에 결제 정보가 없는 경우 사용자에게 `aws-portal:ModifyBilling` 및 `aws-portal:ModifyPaymentMethods` 권한(계정이 아직 세분화된 권한으로 마이그레이션되지 않은 경우) 또는 `payments:CreatePaymentInstrument` 및 `payments:UpdatePaymentPreferences` 권한(계정이 세분화된 권한으로 마이그레이션된 경우)이 있어야 합니다. 또한 멤버 계정에는 결제에 대한 IAM 사용자 액세스가 활성화되어야 합니다. 아직 활성화되지 않은 경우 *AWS Billing 사용 설명서*의 [Billing and Cost Management 콘솔에 대한 액세스 활성화](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)를 참조하세요.

------
#### [ AWS Management Console ]

**조직에서 멤버 계정을 제거하려면**

1. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다.

1. **[AWS 계정](https://console.aws.amazon.com/organizations/v2/home/accounts)** 페이지에서, 조직에서 제거할 각 멤버 계정을 찾아서 그 옆에 있는 확인란![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/images/checkbox-selected.png)을 선택합니다. OU 계층 구조를 탐색하거나 **보기 AWS 계정 전용**을 활성화하여 OU 구조가 없는 계정의 플랫 목록을 볼 수 있습니다. 계정이 많은 경우 이동할 모든 항목을 찾기 위해 목록 하단에 있는 **‘ou-name’에서 추가 계정 로드(Load more accounts in '*ou-name*')**를 선택해야 할 수도 있습니다.

   **[AWS 계정](https://console.aws.amazon.com/organizations/v2/home/accounts)** 페이지에서, 조직에서 제거할 멤버 계정의 이름을 찾아서 선택합니다. 원하는 계정을 찾기 위해 OU를 확장해야 할 수도 있습니다(![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/images/console-expand.png) 선택).

1. **작업(Actions)**을 선택한 다음 **AWS 계정**에서 **조직에서 제거(Remove from organization)**를 선택합니다.

1. **'*account-name*'(\$1*account-id-num*) 계정을 조직에서 제거하시겠습니까?**라는 대화 상자에서 **계정 제거(Remove account)**를 선택합니다.

1. 가 하나 이상의 계정을 제거 AWS Organizations 하지 못하는 경우 이는 일반적으로 계정이 독립 실행형 계정으로 작동하는 데 필요한 모든 정보를 제공하지 않았기 때문입니다. 다음 단계를 수행합니다.

   1. 실패한 계정에 로그인합니다. [**Copy link**]를 선택하고 이를 새로운 익명 브라우저 창의 주소 표시줄에 붙여넣음으로써 로그인하는 것이 좋습니다. **링크 복사**가 보이지 않는 경우 [이 링크](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)를 사용하여 ** AWS가입** 페이지로 이동하여 누락된 등록 단계를 완료합니다. 익명 창을 사용하지 않는 경우, 관리 계정에서 로그아웃되고 이 대화 상자로 다시 돌아갈 수 없습니다.

   1. 브라우저에서 이 계정에서 누락된 모든 단계를 완료할 로그인 절차로 직접 이동합니다. 제시되는 모든 단계를 수행합니다. 이러한 단계에는 다음 작업이 포함되어 있을 수 있습니다.
      + 연락처 정보 제공
      + 올바른 결제 방법 제공
      + 전화 번호 확인
      + 지원 플랜 옵션 선택

   1. 마지막 가입 단계를 완료하면 AWS 가 자동으로 브라우저를 멤버 계정의 AWS Organizations 콘솔로 리디렉션합니다. [**Leave organization**]을 선택한 다음 확인 대화 상자에서 확인을 선택합니다. 다른 조직에 대해 보류 중인 계정 가입 초대를 확인할 수 있는 AWS Organizations 콘솔의 **시작하기** 페이지로 이동했습니다.

   1. 계정에 대한 액세스 권한을 부여하는 IAM 역할을 조직에서 제거합니다.
**중요**  
조직에서 계정이 생성된 경우 Organizations는 조직의 관리 계정에 의한 액세스를 활성화한 IAM 역할을 계정에 자동으로 생성했습니다. 계정이 가입하도록 초대된 경우 Organizations에서 해당 역할을 자동으로 생성하지는 않았지만 사용자 또는 다른 관리자가 동일한 혜택을 받기 위해 계정을 생성했을 수 있습니다. 두 경우 모두 조직에서 계정을 제거할 때 이러한 역할은 자동으로 삭제되지 않습니다. 이전 조직의 관리 계정에서 이 액세스를 종료하려면 이 IAM 역할을 수동으로 삭제해야 합니다. 역할 삭제 방법에 대한 내용은 *IAM 사용 설명서*의 [역할 또는 인스턴스 프로필 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)를 참조하세요.

------
#### [ AWS CLI & AWS SDKs ]

**조직에서 멤버 계정을 제거하려면**  
다음 명령 중 하나를 사용하여 멤버 계정을 삭제할 수 있습니다.
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)

  ```
  $ aws organizations remove-account-from-organization \
      --account-id 123456789012
  ```

  이 명령은 성공 시 출력을 생성하지 않습니다.
+ AWS SDKs: [RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)

조직에서 멤버 계정이 제거된 후에는 조직에서 계정에 대한 액세스 권한을 부여하는 IAM 역할을 제거해야 합니다.

**중요**  
조직에서 계정이 생성된 경우 Organizations는 조직의 관리 계정에 의한 액세스를 활성화한 IAM 역할을 계정에 자동으로 생성했습니다. 계정이 가입하도록 초대된 경우 Organizations에서 해당 역할을 자동으로 생성하지는 않았지만 사용자 또는 다른 관리자가 동일한 혜택을 받기 위해 계정을 생성했을 수 있습니다. 두 경우 모두 조직에서 계정을 제거할 때 이러한 역할은 자동으로 삭제되지 않습니다. 이전 조직의 관리 계정에서 이 액세스를 종료하려면 이 IAM 역할을 수동으로 삭제해야 합니다. 역할 삭제 방법에 대한 내용은 *IAM 사용 설명서*의 [역할 또는 인스턴스 프로필 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)를 참조하세요.

멤버 계정은 대신 [조직 탈퇴](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)를 통해 스스로 제거할 수 있습니다. 자세한 내용은 [를 사용하여 멤버 계정에서 조직 탈퇴 AWS Organizations](orgs_manage_accounts_leave-as-member.md) 단원을 참조하십시오.

------

# 를 사용하여 멤버 계정에서 조직 탈퇴 AWS Organizations
<a name="orgs_manage_accounts_leave-as-member"></a>

멤버 계정에 로그인하면 조직을 탈퇴할 수 있습니다. 관리 계정은 이 방법을 사용하여 조직에서 나갈 수 없습니다. 관리 계정을 제거하려면 [조직을 삭제](orgs_manage_org_delete.md)해야 합니다.

## 고려 사항
<a name="orgs_manage_accounts_leave-as-member-considerations"></a>

**조직에서 계정의 상태는 어떤 비용 및 사용량 데이터가 표시되는지에 영향 받음**

계정은 조직 멤버십 변경에 관계없이 자신에게 전달된 모든 과거 인보이스와 해당 인보이스가 생성한 모든 청구서 데이터에 대한 액세스를 유지합니다. 그러나 Cost Explorer 데이터 가시성은 현재 조직 멤버십과 관련이 있습니다. 아래 표는 세 가지 공통 계정 전환이 데이터 가시성에 미치는 영향을 보여줍니다.


****  

|  | 인보이스 가용성 | 청구서 가용성(예: 청구서 페이지) | Cost Explorer 가용성 | 
| --- | --- | --- | --- | 
| 시나리오 1멤버 계정은 organizationA를 탈퇴하고 독립 실행형 계정이 됩니다. | 계정은 자신에게 전달된 모든 기록 인보이스에 대한 액세스를 유지합니다. | 계정은 organizationA의 멤버로 생성한 모든 과거 청구서 데이터에 대한 액세스를 유지합니다. | 계정은 organizationA의 멤버로서 생성한 과거 비용 및 사용 데이터에 대한 액세스 권한을 잃습니다. | 
| 시나리오 2멤버 계정은 organizationA를 탈퇴하고 organizationB에 가입합니다. | 계정은 자신에게 전달된 모든 기록 인보이스에 대한 액세스를 유지합니다. | 계정은 organizationA의 멤버로 생성한 모든 과거 청구서 데이터에 대한 액세스를 유지합니다. | 계정은 organizationA의 멤버로서 생성한 과거 비용 및 사용 데이터에 대한 액세스 권한을 잃습니다. | 
| 시나리오 3계정은 이전에 속한 조직에 다시 가입합니다. | 계정은 자신에게 전달된 모든 기록 인보이스에 대한 액세스를 유지합니다. | 계정은 생성한 모든 과거 청구서 데이터에 대한 액세스를 유지합니다(독립 실행형 계정 또는 다른 조직의 구성원으로 생성된 경우 무관). | 계정은 조직의 멤버였던 전체 기간 동안 비용 및 사용량 데이터에 대한 액세스 권한을 다시 획득하지만 현재 조직 외부에서 생성된 모든 과거 비용 및 사용량에 대한 액세스 권한은 상실합니다. | 

**계정이 더 이상 해당 계정을 대신하여 수락된 조직 계약의 적용을 받지 않음**

조직에서 나가면 조직의 관리 계정에서 사용자를 대신하여 수락한 조직 계약이 더 이상 적용되지 않습니다. AWS Artifact 콘솔의 조직 계약 페이지에서 이러한 [AWS Artifact 조직 계약 목록을 볼 수 있습니다](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements). 조직을 떠나기 전에 해당되는 경우 법무, 개인정보 보호 또는 규정 준수 팀의 도움을 받아 새 계약이 필요한지에 대한 여부를 결정해야 합니다.

**계정의 할당량 한도가 변경되어 영향을 미칠 수 있습니다.**

조직을 멤버 계정으로 남겨 두면 해당 계정에서 사용할 수 있는 서비스 할당량 제한에 영향을 미칠 수 있습니다. 더 높은 제한이 필요한 자동화된 워크로드가 있는 경우 조직을 떠난 후 서비스 할당량 콘솔에서 할당량을 다시 확인하여 중단 없는 경험을 보장하세요. 조직을 떠난 후 [AWS Support 센터에](https://console.aws.amazon.com/support/home#/) 문의하여 도움을 받으세요.

## 멤버 계정에서 조직 탈퇴
<a name="orgs_manage_accounts_leave-as-member-steps"></a>

조직을 탈퇴하려면 다음 절차를 완료합니다.

**최소 권한**  
조직을 탈퇴하려면 다음 권한이 있어야 합니다.  
`organizations:DescribeOrganization` – Organizations 콘솔을 사용하는 경우에만 필요합니다.
`organizations:LeaveOrganization` – 조직 관리자는 이 권한을 제거한 계정에 정책을 적용하여 조직에서 계정을 제거하지 못하도록 할 수 있습니다.
IAM 사용자로 로그인했는데 계정에 결제 정보가 없는 경우 사용자에게 `aws-portal:ModifyBilling` 및 `aws-portal:ModifyPaymentMethods` 권한(계정이 아직 세분화된 권한으로 마이그레이션되지 않은 경우) 또는 `payments:CreatePaymentInstrument` 및 `payments:UpdatePaymentPreferences` 권한(계정이 세분화된 권한으로 마이그레이션된 경우)이 있어야 합니다. 또한 멤버 계정에는 결제에 대한 IAM 사용자 액세스가 활성화되어야 합니다. 아직 활성화되지 않은 경우 *AWS Billing 사용 설명서*의 [Billing and Cost Management 콘솔에 대한 액세스 활성화](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)를 참조하세요.

------
#### [ AWS Management Console ]

**멤버 계정에서 조직을 탈퇴하려면**

1.  AWS Organizations 콘솔에서 [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)에 로그인합니다. 멤버 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 수임하거나, 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다.

   기본적으로를 사용하여 생성된 멤버 계정의 루트 사용자 암호에 액세스할 수 없습니다 AWS Organizations. 필요한 경우, [를 사용하여 조직의 멤버 계정에 액세스 AWS Organizations](orgs_manage_accounts_access.md)의 **루트 사용자 사용(일상 작업에는 권장되지 않음)**의 단계에 따라 루트 사용자 암호를 복구합니다.

1. **[조직 대시보드](https://console.aws.amazon.com/organizations/v2/home/dashboard)** 페이지에서 **이 조직 탈퇴**를 선택합니다.

1. **조직 탈퇴 확인** 대화 상자에서 **조직 탈퇴**를 선택합니다. 확인 메시지가 나타나면 계정 제거 선택을 확인합니다. 확인하면 AWS Organizations 콘솔의 **시작하기** 페이지로 리디렉션됩니다.이 페이지에서 다른 조직에 가입하기 위해 보류 중인 계정 초대를 볼 수 있습니다.

   **아직 조직을 탈퇴할 수 없음**이라는 메시지가 나타나면 해당 계정에 독립 실행형 계정으로 작동하는 데 필요한 정보 중 일부가 없는 것입니다. 이 경우, 다음 단계로 가세요.

1. **조직 탈퇴 확인** 대화 상자에 **아직 조직을 탈퇴할 수 없음**이 표시되면 **계정 가입 단계 완료** 링크를 선택합니다.

   **계정 가입 단계 완료** 링크가 표시되지 않으면 [이 링크](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)를 사용하여 ** AWS가입** 페이지로 이동하여 누락된 등록 단계를 완료합니다.

1. ** AWS에 가입** 페이지에서 이 계정이 독립 실행형 계정이 되는 데 필요한 모든 필수 정보를 입력합니다. 여기에는 다음과 같은 유형의 정보가 포함됩니다.
   + 담당자 이름 및 주소
   + 올바른 결제 방법
   + 전화번호 확인
   + Support 플랜 옵션

1. 로그인 절차가 완료되었다는 대화 상자가 표시되면 [**Leave organization**]을 선택합니다.

   확인 대화 상자가 표시됩니다. 계정 제거 선택을 확인합니다. AWS Organizations 콘솔의 **시작하기** 페이지로 리디렉션됩니다.이 페이지에서 다른 조직에 가입하기 위해 보류 중인 계정 초대를 볼 수 있습니다.

1. 계정에 대한 액세스 권한을 부여하는 IAM 역할을 조직에서 제거합니다.
**중요**  
조직에서 계정이 생성된 경우 Organizations는 조직의 관리 계정에 의한 액세스를 활성화한 IAM 역할을 계정에 자동으로 생성했습니다. 계정이 가입하도록 초대된 경우 Organizations에서 해당 역할을 자동으로 생성하지는 않았지만 사용자 또는 다른 관리자가 동일한 혜택을 받기 위해 계정을 생성했을 수 있습니다. 두 경우 모두 조직에서 계정을 제거할 때 이러한 역할은 자동으로 삭제되지 않습니다. 이전 조직의 관리 계정에서 이 액세스를 종료하려면 이 IAM 역할을 수동으로 삭제해야 합니다. 역할 삭제 방법에 대한 내용은 *IAM 사용 설명서*의 [역할 또는 인스턴스 프로필 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)를 참조하세요.

------
#### [ AWS CLI & AWS SDKs ]

**멤버 계정으로 조직에서 나가려면**  
다음 명령 중 하나를 사용하여 조직을 나갈 수 있습니다.
+ AWS CLI: [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)

  다음 예제는 명령 실행에 사용되는 자격 증명을 가진 계정이 조직을 나가도록 합니다.

  ```
  $ aws organizations leave-organization
  ```

  이 명령은 성공 시 출력을 생성하지 않습니다.
+ AWS SDKs: [LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)

멤버 계정이 조직을 떠난 후에는 조직에서 계정에 대한 액세스 권한을 부여하는 IAM 역할을 제거해야 합니다.

**중요**  
조직에서 계정이 생성된 경우 Organizations는 조직의 관리 계정에 의한 액세스를 활성화한 IAM 역할을 계정에 자동으로 생성했습니다. 계정이 가입하도록 초대된 경우 Organizations에서 해당 역할을 자동으로 생성하지는 않았지만 사용자 또는 다른 관리자가 동일한 혜택을 받기 위해 계정을 생성했을 수 있습니다. 두 경우 모두 조직에서 계정을 제거할 때 이러한 역할은 자동으로 삭제되지 않습니다. 이전 조직의 관리 계정에서 이 액세스를 종료하려면 이 IAM 역할을 수동으로 삭제해야 합니다. 역할 삭제 방법에 대한 내용은 *IAM 사용 설명서*의 [역할 또는 인스턴스 프로필 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)를 참조하세요.

관리 계정의 사용자가 대신 [조직에서 계정 제거](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)를 사용하여 멤버 계정을 제거할 수도 있습니다. 자세한 내용은 [조직에서 멤버 계정 제거](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account) 단원을 참조하십시오.

------

# 를 사용하여 멤버 계정의 계정 이름 업데이트 AWS Organizations
<a name="orgs_manage_accounts_update_name"></a>

조직의 관리 계정에 로그인하면 멤버 계정의 계정 이름을 업데이트할 수 있습니다. 멤버 계정 이름을 업데이트하는 방법을 알아보려면 *AWS Account Management 참조 안내서*의 [조직 AWS 계정 내 모든의 계정 이름 업데이트](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs)의 단계를 따르세요.

# 를 사용하여 멤버 계정의 루트 사용자 이메일 주소 업데이트 AWS Organizations
<a name="orgs_manage_accounts_update_primary_email"></a>

보안 및 관리 복원력을 높이기 위해 관리 계정의 IAM 위탁자(필요한 IAM 권한이 있음)는 각 계정에 개별적으로 로그인할 필요 없이 모든 멤버 계정의 루트 사용자 이메일 주소(기본 이메일 주소라고도 함)를 중앙에서 업데이트할 수 있습니다. 이렇게 하면 관리 계정(또는 위임된 관리자 계정)의 관리자가 멤버 계정에 대한 더 많은 제어를 할 수 있습니다. 또한 원래 루트 사용자 이메일 주소 또는 관리 자격 증명에 대한 액세스 권한을 잃어버렸더라도에 속한 모든 멤버 계정의 루트 사용자 이메일 주소 최신 상태로 유지할 AWS Organizations 수 있습니다.

관리 계정 관리자가 루트 사용자 이메일 주소를 중앙에서 변경하면 암호와 MFA 구성 모두 변경 전과 동일하게 유지됩니다. 계정의 루트 사용자 이메일 주소와 기본 연락 전화번호를 제어하는 사용자는 MFA를 우회할 수 있습니다.

조직 내 멤버 계정의 루트 사용자 이메일 주소 업데이트하려면 조직에서 이전에 [모든 기능](orgs_getting-started_concepts.md#feature-set-all) 모드를 활성화해야 합니다. 통합 결제 모드 또는 조직에 속하지 않은 계정 AWS Organizations 에서는가 루트 사용자 이메일 주소 중앙에서 업데이트할 수 없습니다. API에서 지원하지 않는 계정의 루트 사용자 이메일 주소를 변경하려는 사용자는 계속해서 결제 콘솔을 사용하여 루트 사용자 이메일 주소를 관리해야 합니다.

멤버 계정의 루트 사용자 이메일 주소 업데이트하는 방법에 대한 step-by-step 지침은 *AWS Account Management 참조 안내서*[의 조직의 모든 AWS 계정 에 대한 루트 사용자 이메일A](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs) 업데이트를 참조하세요.