As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciando contas de membros com AWS Organizations
<a name="orgs-manage_accounts_members"></a>

Uma *conta de membro* é uma conta Conta da AWS, diferente da conta de gerenciamento, que faz parte de uma organização.

Este tópico descreve como gerenciar contas de membros com AWS Organizations.

**Topics**
+ [Práticas recomendadas para contas-membro](orgs_best-practices_member-acct.md)
+ [Criar uma conta-membro](orgs_manage_accounts_create.md)
+ [Acessar contas-membro](orgs_manage_accounts_access.md)
+ [Fechar uma conta-membro](orgs_manage_accounts_close.md)
+ [Como proteger contas-membro contra o fechamento](orgs_account_close_policy.md)
+ [Remover uma conta-membro](orgs_manage_accounts_remove.md)
+ [Como sair de uma organização como uma conta-membro](orgs_manage_accounts_leave-as-member.md)
+ [Atualizar o nome da conta de membro](orgs_manage_accounts_update_name.md)
+ [Atualizar o e-mail do usuário-raiz para uma conta de membro](orgs_manage_accounts_update_primary_email.md)

# Práticas recomendadas para contas-membro
<a name="orgs_best-practices_member-acct"></a>

Siga estas recomendações para ajudar a proteger a segurança das contas membro em sua organização. Essas recomendações pressupõem que você também siga as [práticas recomendadas de uso do usuário-raiz somente para as tarefas que realmente o exigem](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).

**Topics**
+ [Definir o nome e os atributos da conta](#bp_member-acct_define-acct)
+ [Escalar com eficiência o ambiente e o uso da conta](#bp_member-acct_efficiently-scale)
+ [Habilite o gerenciamento de acesso raiz para simplificar o gerenciamento das credenciais de usuário-raiz para contas de membros](#bp_member-acct_root-access-management)

## Definir o nome e os atributos da conta
<a name="bp_member-acct_define-acct"></a>

Para suas contas-membro, use uma estrutura de nomes e um endereço de e-mail que reflita o uso da conta. Por exemplo, `Workloads+fooA+dev@domain.com` para `WorkloadsFooADev`, `Workloads+fooB+dev@domain.com` para `WorkloadsFooBDev`. Se houver tags personalizadas definidas para sua organização, recomendamos a você atribuir essas tags em contas que reflitam o uso da conta, o centro de custos, o ambiente e o projeto. Isso torna mais fácil identificar, organizar e pesquisar contas. 

## Escalar com eficiência o ambiente e o uso da conta
<a name="bp_member-acct_efficiently-scale"></a>

Ao escalar, antes de criar novas contas, certifique-se de que ainda não existam contas para necessidades semelhantes, para evitar duplicações desnecessárias. Contas da AWS devem basear-se em requisitos comuns de acesso. Se você planeja reutilizar as contas, como uma conta de sandbox ou equivalente, recomendamos  limpar quaisquer recursos ou workloads desnecessários das contas, mas salve as contas para uso futuro.

Antes de encerrar contas, observe que elas estão sujeitas aos limites de cota de fechamento de contas. Para obter mais informações, consulte [Cotas e limites de serviço para AWS Organizations](orgs_reference_limits.md). Considere implementar um processo de limpeza para reutilizar contas em vez de encerrá-las e criar novas quando possível. Dessa forma, você evitará incorrer em custos com a execução de recursos e o alcance dos limites [CloseAccount da API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html). 

## Habilite o gerenciamento de acesso raiz para simplificar o gerenciamento das credenciais de usuário-raiz para contas de membros
<a name="bp_member-acct_root-access-management"></a>

Recomendamos que você habilite o gerenciamento de acesso raiz para ajudar a monitorar e remover as credenciais de usuário-raiz das contas de membros. O gerenciamento do acesso raiz impede a recuperação das credenciais do usuário-raiz, melhorando a segurança da conta em sua organização.
+ Remova as credenciais do usuário-raiz das contas de membros para impedir o login como usuário-raiz Isso também evita que contas de membros recuperem o usuário-raiz.
+ Considere uma sessão privilegiada para realizar as seguintes tarefas nas contas dos membros:
  + Remova uma política de bucket mal configurada que negue a todas as entidades principais o acesso ao bucket do Amazon S3.
  + Exclua uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
  + Permita que uma conta de membro recupere suas credenciais de usuário-raiz. A pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta de membro poderá redefinir a senha do usuário-raiz e fazer login no usuário-raiz da conta de membro.

Depois que o gerenciamento do acesso raiz é ativado, as contas de membros recém-criadas não têm secure-by-default credenciais de usuário raiz, o que elimina a necessidade de segurança adicional, como MFA após o provisionamento.

Consulte mais informações em [Centralizar credenciais de usuário-raiz para contas de membros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management) no *Guia do usuário do AWS Identity and Access Management *. 

### Use um SCP para restringir o que o usuário-raiz de suas contas-membro pode fazer
<a name="bp_member-acct_use-scp"></a>

Recomendamos que você crie uma política de controle de serviço (SCP) na organização e anexe-a à raiz da organização para que ela se aplique a todas as contas-membro. Para obter mais informações, consulte [Proteja as credenciais de usuário raiz da conta Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations).

Você pode negar todas as ações da raiz, exceto uma ação exclusiva à raiz que deve ser executada em sua conta-membro. Por exemplo, o SCP a seguir impede que o usuário raiz em qualquer conta membro faça qualquer chamada de API de AWS serviço, exceto “Atualizar uma política de bucket do S3 que foi configurada incorretamente e nega acesso a todos os principais” (uma das ações que exige credenciais raiz). Para obter mais informações, consulte [Tarefas que exigem credenciais de usuário raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) no *Guia do usuário do IAM*.

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction":[
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:DeleteBucketPolicy"
                 ],
            "Resource": "*",
            "Condition": {
 "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
            }
        }
    ]
 }
```

------

Na maioria das circunstâncias, quaisquer tarefas administrativas podem ser executadas por um perfil do AWS Identity and Access Management (IAM) na conta-membro com as permissões de administrador relevantes. Esses perfis devem ter controles adequados aplicados para limitar, registrar e monitorar atividades.

# Criação de uma conta de membro em uma organização com AWS Organizations
<a name="orgs_manage_accounts_create"></a>

Este tópico descreve como criar Contas da AWS em sua organização em AWS Organizations. Para obter informações sobre como criar um single Conta da AWS, consulte o [Centro de recursos de introdução](https://aws.amazon.com/getting-started/).

## Considerações antes de criar uma conta-membro
<a name="orgs_manage_accounts_create-considerations"></a>

**O Organizations cria automaticamente o perfil do IAM `OrganizationAccountAccessRole` para a conta-membro**

Quando você cria uma conta-membro em sua organização, o Organizations cria automaticamente um perfil do IAM `OrganizationAccountAccessRole` na conta-membro, permitindo que os usuários e perfis na conta gerencial exerçam controle administrativo completo sobre a conta-membro. Todas as contas adicionais vinculadas à mesma política gerenciada sejam atualizadas automaticamente sempre que a política for atualizada. Essa função está sujeita a qualquer [política de controle de serviço (SCPs)](orgs_manage_policies_scps.md) que se aplique à conta do membro.

**O Organizations cria automaticamente o perfil vinculado ao serviço `AWSServiceRoleForOrganizations` para a conta de membro**

Quando você cria uma conta de membro em sua organização, o Organizations cria automaticamente uma função vinculada ao serviço `AWSServiceRoleForOrganizations` na conta do membro que permite a integração com serviços selecionados AWS . Você deve configurar os outros serviços para permitir a integração. Para obter mais informações, consulte [AWS Organizations e funções vinculadas ao serviço](orgs_integrate_services.md#orgs_integrate_services-using_slrs).

**As contas-membro só podem ser criadas na raiz de uma organização**

As contas de membro só podem ser criadas na raiz de uma organização Depois de criar uma conta de membro raiz de uma organização, você pode movê-la entre OUs. Para obter mais informações, consulte [Movendo contas para uma unidade organizacional (OU) ou entre a raiz e OUs com AWS Organizations](move_account_to_ou.md).

**As políticas vinculadas à raiz se aplicam imediatamente**

Se você tiver alguma política anexada à raiz, essa política será aplicada imediatamente a todos os usuários e funções na conta criada.

Se você [habilitou a confiança de serviço para outro AWS serviço](orgs_integrate_services_list.md) da sua organização, esse serviço confiável pode criar funções vinculadas ao serviço ou realizar ações em qualquer conta membro da organização, incluindo sua conta criada.

**As contas-membro devem optar por receber e-mails de marketing**

As contas de membros que você cria como parte de uma organização não são automaticamente inscritas em e-mails AWS de marketing. Para inscrever suas contas para receber e-mails de marketing, consulte [https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences).

**As contas de membros de organizações gerenciadas por AWS Control Tower devem ser criadas em AWS Control Tower**

Se sua organização for gerenciada por AWS Control Tower, recomendamos que você crie suas contas de membros usando a fábrica de AWS Control Tower contas no AWS Control Tower console ou usando AWS Control Tower APIs o.

Se você criar uma conta de membro em Organizations quando a organização for gerenciada por AWS Control Tower, a conta não será registrada com AWS Control Tower. Para obter mais informações, consulte [Referência a recursos fora do AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources) no *Manual do usuário do AWS Control Tower *.

## Crie uma conta de membro
<a name="orgs_manage_accounts_create-new"></a>

Depois de fazer login na conta gerencial da organização, você pode criar contas-membro que são parte de sua organização.

Ao criar uma conta usando o procedimento a seguir, copia AWS Organizations automaticamente as seguintes informações de **contato principal** da conta de gerenciamento para a nova conta de membro:
+ Número de telefone
+ Company name (Nome da empresa)
+ URL do site
+ Endereço

O Organizations também copia a linguagem de comunicação e as informações do Marketplace (fornecedor da conta em alguns Regiões da AWS casos) da conta de gerenciamento.

**Permissões mínimas**  
Para criar uma conta membro em sua organização, você deve ter as seguintes permissões:  
`organizations:DescribeOrganization` – necessário somente ao usar o console do Organizations
`organizations:CreateAccount`

### Console de gerenciamento da AWS
<a name="orgs_manage_accounts_create-new-console"></a>

**Para criar um Conta da AWS que seja automaticamente parte da sua organização**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.

1. Na página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, selecione **Adicionar uma Conta da AWS**.

1. Na página **[Adicionar uma Conta da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, selecione **Criar uma Conta da AWS** (essa opção é escolhida por padrão). 

1. Na página **[Criar uma Conta da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, em **Nome da Conta da AWS **, insira o nome que deseja atribuir à conta. Esse nome ajuda você a distinguir a conta de todas as outras contas na organização e é distinto do alias do IAM ou do nome do e-mail do proprietário.

1. Para **Email address of the account's owner (Endereço de e-mail do proprietário da conta)**, insira o endereço de e-mail do proprietário da conta. Esse endereço de e-mail ainda não pode estar associado a outro Conta da AWS porque se torna a credencial do nome de usuário do usuário raiz da conta.

1. (Opcional) Especifique o nome a ser atribuído à função do IAM que é criada automaticamente na nova conta. Essa função concede a permissão à conta gerencial organização para acessar a conta-membro recém-criada. Se você não especificar um nome, AWS Organizations atribua à função um nome padrão de`OrganizationAccountAccessRole`. Recomendamos que você use o nome padrão em todas as contas, por consistência.
**Importante**  
Lembre-se do nome do perfil. Você precisará dele posteriormente para conceder acesso à nova conta para usuários e perfis na conta gerencial.

1. (Opcional) Na seção **Tags (Tags)**, adicione uma ou mais tags à nova conta selecionando **Add tag (Adicionar tag)** e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma conta.

1. Escolha **Criar Conta da AWS**.
   + Se você receber um erro indicando que excedeu a cota de conta da organização, consulte [Recebo uma mensagem "cota excedida" ao tentar adicionar uma conta à minha organização](orgs_troubleshoot.md#troubleshoot_general_error-adding-account).
   + Se você receber um erro que indica que você não pode adicionar uma conta porque sua organização ainda está inicializando, aguarde uma hora e tente novamente.
   + Você também pode verificar o AWS CloudTrail registro para obter informações sobre se a criação da conta foi bem-sucedida. Para obter mais informações, consulte [Registro e monitoramento em AWS Organizations](orgs_security_incident-response.md).
   + Se o erro persistir, entre em contato com o [AWS Support](https://console.aws.amazon.com/support/home#/).

   A página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** é exibida, com a nova conta adicionada à lista.

1. Agora que a conta existe e tem um perfil do IAM que concede acesso de administrador aos usuários da conta gerencial, você pode acessar a conta seguindo as etapas em [Acessando contas de membros em uma organização com AWS Organizations](orgs_manage_accounts_access.md).

### AWS CLI & AWS SDKs
<a name="orgs_manage_accounts_create-new-cli-sdk"></a>

Os exemplos de código a seguir mostram como usar o `CreateAccount`.

------
#### [ .NET ]

**SDK para .NET**  
 Tem mais sobre GitHub. Encontre o exemplo completo e saiba como configurar e executar no [AWS Code Examples Repository](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples). 

```
    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }
```
+  Para obter detalhes da API, consulte [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)a *Referência AWS SDK para .NET da API*. 

------
#### [ CLI ]

**AWS CLI**  
**Como criar uma conta de membro que automaticamente faça parte da organização**  
O exemplo a seguir mostra como criar uma conta de membro em uma organização. A conta de membro é configurada com o nome Production Account e o endereço de e-mail susan@example.com. Organizations cria automaticamente uma função do IAM usando o nome padrão de OrganizationAccountAccessRole porque o parâmetro roleName não está especificado. Além disso, a configuração que permite que usuários ou funções do IAM com permissões suficientes acessem os dados de faturamento da conta é definida com o valor padrão de ALLOW porque o IamUserAccessToBilling parâmetro não foi especificado. Organizations envia automaticamente a Susan um e-mail de “Bem-vindo a AWS”:  

```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
A saída inclui um objeto de solicitação que mostra que o status agora é `IN_PROGRESS`:  

```
{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}
```
Posteriormente, você pode consultar o status atual da solicitação fornecendo o valor de resposta Id ao describe-create-account-status comando como o valor do create-account-request-id parâmetro.  
Para obter mais informações, consulte Criando uma AWS conta em sua organização no *Guia do Usuário do AWS Organizations*.  
+  Para obter detalhes da API, consulte [CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)em *Referência de AWS CLI Comandos*. 

------

# Acessando contas de membros em uma organização com AWS Organizations
<a name="orgs_manage_accounts_access"></a>

Quando você cria uma conta na organização, além do usuário-raiz, o AWS Organizations cria automaticamente uma função do IAM denominada `OrganizationAccountAccessRole` por padrão. Você pode especificar um nome diferente ao criá-lo, mas recomendamos que você o nomeie de forma consistente em todas as suas contas. AWS Organizations não cria nenhum outro usuário ou função.

Para acessar as contas em sua organização, você deve usar um dos seguintes métodos:

**Permissões mínimas**  
Para acessar e Conta da AWS de qualquer outra conta em sua organização, você deve ter a seguinte permissão:  
`sts:AssumeRole` – o elemento `Resource` deve ser definido como um asterisco (\$1) ou o número do ID da conta com o usuário que precisa acessar a nova conta-membro 

------
#### [ Using the root user (Not recommended for everyday tasks) ]

Quando você criar uma nova conta de membro na sua organização, a conta não terá credenciais de usuário-raiz por padrão. As contas-membro não podem fazer login com o usuário-raiz nem realizar a recuperação da senha do usuário-raiz, a menos que a recuperação de conta esteja habilitada.

Você pode [centralizar o acesso raiz para contas de membros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), removendo as credenciais de usuário-raiz das contas de membros existentes em sua organização. A exclusão das credenciais do usuário-raiz removerá a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativará a autenticação multifator (MFA). Essas contas-membro não têm credenciais de usuário-raiz, não podem fazer login como usuário-raiz e são impedidas de recuperar a senha do usuário-raiz. As novas contas que você criar no Organizations não terão credenciais de usuário-raiz por padrão.

Entre em contato com seu administrador se precisar realizar uma tarefa que exija credenciais de usuário-raiz em uma conta de membro na qual essas credenciais não estejam presentes.

Para acessar a conta de membro como o usuário-raiz, você precisa passar pelo processo de recuperação de senha. Consulte [Esqueci a senha de usuário-raiz da minha Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) no *Guia do usuário do AWS Sign-In* para obter mais informações. 

Se você precisa acessar uma conta de membro usando o usuário-raiz, siga as práticas recomendadas:
+ Não use o usuário-raiz para acessar a conta para nada além de criar outros usuários e funções com permissões mais limitadas. Em seguida, faça login como um desses usuários ou funções.
+ [Habilitar a autenticação multifator (MFA) no usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa) Redefina a senha e [atribua um dispositivo MFA ao usuário raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).

Para obter a lista completa das tarefas que exigem login como usuário-raiz, consulte [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do Usuário do IAM*. Para obter mais recomendações de segurança do usuário-raiz, consulte [Práticas recomendadas do usuário-raiz para sua Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) no *Guia do usuário do IAM* .

------
#### [ Using trusted access for IAM Identity Center ]

Use [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)e habilite o acesso confiável para o IAM Identity Center com AWS Organizations. Isso permite que os usuários entrem no portal de AWS acesso com suas credenciais corporativas e acessem recursos na conta de gerenciamento atribuída ou nas contas de membros.

Para obter mais informações, consulte [Permissões para várias contas](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) no *Guia do usuário do Centro de Identidade do AWS IAM *. Para obter informações sobre como configurar o acesso confiável para o IAM Identity Center, consulte [Centro de Identidade do AWS IAM and AWS Organizations](services-that-can-integrate-sso.md).

------
#### [ Using the IAM role OrganizationAccountAccessRole ]

Se você criar uma conta usando as ferramentas fornecidas como parte do AWS Organizations, poderá acessar a conta usando a função pré-configurada chamada `OrganizationAccountAccessRole` que existe em todas as novas contas que você cria dessa forma. Para obter mais informações, consulte [Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).

Se você convidar uma conta existente para participar de sua organização e a conta aceitar o convite, poderá optar por criar um perfil do IAM que permita o acesso da conta gerencial à conta-membro. Essa função deve ser idêntica à função adicionada automaticamente a uma conta criada com o AWS Organizations.

Para criar essa função, consulte [Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).

Depois de criar a função, acesse-a usando as etapas em [Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).

------

**Topics**
+ [Como criar um perfil de acesso do IAM](orgs_manage_accounts_create-cross-account-role.md)
+ [Como usar o perfil de acesso do IAM](orgs_manage_accounts_access-cross-account-role.md)

# Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations
<a name="orgs_manage_accounts_create-cross-account-role"></a>

Por padrão, se você criar a conta-membro como parte de sua organização, a AWS criará automaticamente uma função na conta que concede permissões de administrador aos usuários do IAM na conta de gerenciamento que podem assumir a função. Por padrão, essa função é denominada `OrganizationAccountAccessRole`. Para obter mais informações, consulte [Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).

No entanto, contas de associado que você *convida* para participar da sua organização ***não*** recebem automaticamente a função de administrador criada. Você precisa fazer isso manualmente, como mostrado no procedimento a seguir. Isso duplica a função configurada automaticamente para as contas criadas. Recomendamos que você use o mesmo nome, `OrganizationAccountAccessRole`, para suas funções criadas manualmente, para consistência e facilidade de lembrar.

------
#### [ Console de gerenciamento da AWS ]

**Para criar uma função de AWS Organizations administrador em uma conta de membro**

1. Faça login no console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta-membro. O usuário ou a função deve ter permissão para criar funções e políticas do IAM.

1. No console do IAM acesse **Perfis** e, em seguida, escolha **Criar perfil**.

1. Escolha e **Conta da AWS**, em seguida, selecione **Outro Conta da AWS**.

1. Insira o número de ID de 12 dígitos da conta de gerenciamento à qual você deseja conceder acesso de administrador. Em **Opções**, observe o seguinte:
   + Para essa função, porque as contas são internar à empresa, você **não** deve escolher **Require external ID (Requerer ID externo)**. Para obter mais informações sobre a opção de ID externo, consulte [Quando devo usar um ID externo?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) no *Guia do usuário do IAM*. 
   + Se tiver MFA habilitado e configurado, você também poderá optar por exigir autenticação usando um dispositivo Multi-Factor Authentication (MFA – Autenticação multifator). Para obter mais informações sobre MFA, consulte [Uso da autenticação multifator (MFA) na AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) no *Guia do usuário do IAM*. 

1. Escolha **Próximo**.

1. Na página **Adicionar permissões**, selecione a política gerenciada da AWS denominada `AdministratorAccess` e, em seguida, selecione **Próximo**.

1. Na página **Nomear, revisar e criar**, especifique um nome de perfil e uma descrição opcional. Recomendamos que você use `OrganizationAccountAccessRole`, para manter a consistência com o nome padrão atribuído à função nas novas contas. Para confirmar as alterações, escolha **Criação de função**.

1. Sua nova função é exibida na lista de funções disponíveis. Escolha o novo nome da função para ver os detalhes, prestando atenção especial no URL do link que é fornecido. Dê esse URL aos usuários da conta-membro que precisam acessar a função. Além disso, anote o **Role ARN (ARN da função)**, pois você precisará dele na etapa 15.

1. Faça login no console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Dessa vez, faça login como usuário na conta de gerenciamento que tem permissões para criar políticas e atribuí-las a usuários ou grupos.

1. Acesse **Políticas** e escolha **Criar política**.

1. Para **Service**, escolha **STS**.

1. Para **Actions (Ações)**, comece digitando **AssumeRole** na caixa **Filter (Filtro)** e marque a caixa de seleção próxima a ela quando aparecer.

1. Em **Recursos**, certifique-se de que **Específico** esteja selecionado e escolha **Adicionar ARNs**.

1. Insira o número de ID AWS da conta do membro e, em seguida, insira o nome da função que você criou anteriormente nas etapas de 1 a 8. Escolha **Add (Adicionar) ARNs**.

1. Se você estiver concedendo permissão para assumir a função em várias contas membro, repita as etapas 14 e 15 para cada conta.

1. Escolha **Próximo**.

1. Na página **Revisar e criar**, insira um nome para a nova política e selecione **Criar política** para salvar suas alterações.

1. Escolha **Grupos de usuário** no painel de navegação e escolha o nome do grupo (não a caixa de seleção) que você deseja usar para delegar a administração da conta-membro.

1. Escolha a aba **Permissões**.

1. Escolha **Adicionar permissões**, **Anexar política** e selecione a política que criou nas etapas 11–18.

------

Os usuários que são membros do grupo selecionado agora podem usar o URLs que você capturou na etapa 9 para acessar a função de cada conta de membro. Eles podem acessar essas contas membros da mesma forma como acessariam uma conta que você cria na organização. Para obter mais informações sobre como usar a função para administrar uma conta-membro, consulte [Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations](orgs_manage_accounts_access-cross-account-role.md). 

# Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations
<a name="orgs_manage_accounts_access-cross-account-role"></a>

Quando você cria uma conta de membro usando o AWS Organizations console, cria AWS Organizations *automaticamente* uma função do IAM nomeada `OrganizationAccountAccessRole` na conta. Essa função tem permissões administrativas completas na conta do membro. O escopo de acesso para essa função inclui todas as entidades principais na conta de gerenciamento, de modo que a função esteja configurada para conceder esse acesso à conta de gerenciamento da organização.

Você pode criar uma função idêntica para a conta de um membro convidado seguindo as etapas de [Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).

Para usar essa função para acessar a conta-membro, você deve fazer login como usuário a partir da conta de gerenciamento que tem permissão para assumir a função. Para configurar essas permissões, execute o procedimento a seguir. Recomendamos que você conceda permissões a grupos em vez de usuários para a facilidade de manutenção.

------
#### [ Console de gerenciamento da AWS ]

**Para conceder permissões a membros de um grupo do IAM na conta de gerenciamento para acessar a função**

1. Faça login no console do IAM [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)como um usuário com permissões de administrador na conta de gerenciamento. Isso é necessário para delegar permissões para o grupo do IAM cujos usuários terão acesso à função na conta-membro.

1. <a name="step-create-policy"></a>Comece criando a política gerenciada de que você precisará posteriormente em [Step 14](#step-choose-group). 

   No painel de navegação, escolha **Policies (Políticas)** e, em seguida, selecione **Create policy (Criar política)**.

1. Na guia Visual editor, escolha **Choose a service**, digite **STS** na caixa de pesquisa para filtrar a lista e escolha a opção **STS**.

1. Na seção **Ações**, insira **assume** na caixa de pesquisa para filtrar a lista e escolha a **AssumeRole**opção.

1. Na seção **Recursos**, escolha **Específico**, escolha **Adicionar ARNs**

1. Na seção **Specify ARN(s)**, escolha **Other account** para o recurso.

1. Insira o ID da conta-membro que você acabou de criar

1. Em **Resource role name with path**, insira o nome do perfil criado na seção anterior (recomendamos dar a ele o nome `OrganizationAccountAccessRole`).

1. Escolha **Adicionar ARNs** quando a caixa de diálogo exibir o ARN correto.

1. (Opcional) Se desejar exigir autenticação multifator (MFA) ou restringir o acesso à função a partir de um intervalo de endereços IP especificado, expanda a seção Request conditions (Condições de solicitação) e selecione as opções que deseja impor.

1. Escolha **Próximo**.

1. Na página **Review and create**, insira um nome para a política. Por exemplo: **GrantAccessToOrganizationAccountAccessRole**. Você também pode adicionar uma descrição opcional. 

1. <a name="step-end-policy"></a>Escolha **Criar política** para salvar a nova política gerenciada.

1. <a name="step-choose-group"></a>Agora que você tem a política disponível, poderá associá-la a um grupo.

   No painel de navegação, escolha **Groups** e selecione o nome do grupo (não a caixa de seleção) cujos membros você deseja que assumam a função na conta-membro. Se necessário, você poderá criar outro grupo.

1. Escolha a guia **Permissões**, escolha **Adicionar permissões** e depois **Anexar políticas**.

1. (Opcional) Na caixa **Search (Pesquisar)**, é possível começar a digitar o nome da política para filtrar a lista até ver o nome da política criada em [Step 2](#step-create-policy) até [Step 13](#step-end-policy). Você também pode filtrar todas as políticas gerenciadas da AWS selecionando **Policy Type** e **Customer Managed**.

1. Marque a caixa ao lado da política e selecione **Attach policies**.

------

Os usuários do IAM que são membros do grupo agora têm permissões para mudar para a nova função no AWS Organizations console usando o procedimento a seguir.

------
#### [ Console de gerenciamento da AWS ]

**Para alternar para a função para a conta-membro**

Ao usar a função, o usuário tem permissões de administrador na nova conta-membro. Instrua os usuários do IAM que são membros do grupo a fazer o seguinte para alternar para a nova função. 

1. **No canto superior direito do AWS Organizations console, escolha o link que contém seu nome de login atual e escolha Trocar função.**

1. Insira o nome da função e o número do ID da conta fornecida pelo administrador.

1. Em **Display Name (Nome de exibição)**, insira o texto a ser exibido na barra de navegação no canto superior direito em vez do seu nome de usuário enquanto estiver usando a função. Você também pode escolher uma cor.

1. Selecione **Switch Role (Mudar de função)**. Agora, todas as ações que você executar serão feitas com as permissões concedidas à função para a qual você mudou. Você não tem mais as permissões associadas ao seu usuário original do IAM até você alternar de volta.

1. Ao concluir as ações que exigem as permissões da função, você poderá alternar de volta para seu usuário do IAM normal. Escolha o nome da função no canto superior direito (o que você especificou como **Nome de exibição**) e, em seguida, escolha **Voltar para**. *UserName*

------

# Fechando uma conta de membro em uma organização com AWS Organizations
<a name="orgs_manage_accounts_close"></a>

Se não precisar mais de uma conta-membro em sua organização, é possível encerrá-la no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2) seguindo as instruções apresentadas neste tópico. Você só pode fechar uma conta de membro usando o AWS Organizations console se sua organização estiver no modo [Todos os recursos](orgs_getting-started_concepts.md#feature-set-all).

Você também pode fechar um Conta da AWS diretamente da [página **Conta**](https://console.aws.amazon.com/billing/home#/account) Console de gerenciamento da AWS após fazer login como usuário root. Para step-by-step obter instruções, consulte [Fechar um Conta da AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) no *Guia de gerenciamento de AWS contas*. 

Para encerrar uma conta gerencial, consulte [Como encerrar uma conta-membro em sua organização](orgs_manage_accounts_close_management.md).

## Encerrar uma conta-membro
<a name="orgs_account_close_proc"></a>

Quando você acessa a conta gerencial da organização, é possível encerrar contas-membro que fazem parte de sua organização. Para fazer isso, conclua as seguintes etapas:

**Importante**  
Antes de encerrar sua conta-membro, é altamente recomendável que você analise as considerações e entenda o impacto do encerramento de uma conta. Para obter mais informações, consulte [O que você precisa saber antes de encerrar a conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) e [O que esperar depois de encerrar a conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) no *Guia de gerenciamento de contas da AWS *.

------
#### [ AWS Management Console ]

**Para fechar uma conta de membro a partir do AWS Organizations console**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.

1. Na página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, localize e escolha o nome da conta de membro que deseja encerrar. É possível navegar na hierarquia da UO ou ver uma lista simples de contas sem a estrutura da UO. 

1. Selecione **Close** (Encerrar) ao lado do nome da conta na parte superior da página. Essa opção só está disponível quando uma organização da AWS está no modo [Todos os atributos](orgs_getting-started_concepts.md#feature-set-all).
**nota**  
Se sua organização estiver usando o modo [Faturamento consolidado](orgs_getting-started_concepts.md#feature-set-cb-only) o botão **Encerrar** não estará disponível no console. Para encerrar uma conta no modo de faturamento consolidado, entre na conta que você deseja encerrar como usuário-raiz. Na página **Contas**, clique o botão **Encerrar conta**, insira o ID da sua conta e clique o botão **Encerrar conta**.

1. Leia e certifique-se de que entendeu as orientações para o encerramento da conta.

1. Insira o ID da conta-membro e escolha **Encerrar conta**. 

**nota**  
Qualquer conta-membro que você encerrar exibirá uma etiqueta `CLOSED` ao lado do nome da conta no console do AWS Organizations por até 90 dias após a data de encerramento original. Após 90 dias, a conta do membro será encerrada permanentemente e não será mais exibida no AWS Organizations console. Observe que pode levar alguns dias para que a conta seja removida da organização após o encerramento permanente.

**Para encerrar uma conta-membro na página Contas**

Opcionalmente, você pode fechar uma conta de AWS membro diretamente da página **Contas** no Console de gerenciamento da AWS. Para step-by-step obter orientação, siga as instruções em [Fechar](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) e Conta da AWS no *Guia de gerenciamento de AWS contas*.

------
#### [ AWS CLI & AWS SDKs ]

**Para fechar um Conta da AWS**  
Você pode usar um dos seguintes comandos para encerrar uma conta da AWS :
+ AWS CLI: [close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)

  ```
  $ aws organizations close-account \
      --account-id 123456789012
  ```

  Esse comando não gera nenhuma saída quando é bem-sucedido.
+ AWS SDKs: [CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)

------

# Protegendo as contas dos membros contra o encerramento com AWS Organizations
<a name="orgs_account_close_policy"></a>

Para proteger as contas de membros contra o encerramento acidental, crie uma política do IAM que especifique quais contas estão isentas. Essa política impede o encerramento de contas de membros protegidas.

Crie uma política do IAM para impedir o encerramento da conta usando um destes métodos:
+ Liste explicitamente as contas protegidas no `Resource` elemento da política usando suas. ARNs
+ Marque contas individuais e use a chave de condição `aws:ResourceTag` global para impedir o encerramento de contas marcadas.

**nota**  
As políticas de controle de serviço (SCPs) não afetam os diretores do IAM na conta de gerenciamento.

## Exemplos de políticas do IAM que impedem fechamentos de contas-membro
<a name="orgs_close_account_policy_examples"></a>

Os exemplos de código a seguir mostram dois métodos diferentes que você pode usar para impedir que as contas-membro encerrem suas contas.

------
#### [ Prevent member accounts with tags from getting closed  ]

É possível anexar a seguinte política a uma identidade na sua conta gerencial. Essa política impede que as entidades principais na conta gerencial encerrem qualquer conta-membro que esteja marcada com a chave de condição global da etiqueta `aws:ResourceTag`, a chave `AccountType` e o valor de chave `Critical`.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
```

------
#### [ Prevent member accounts listed in this policy from getting closed ]

É possível anexar a seguinte política a uma identidade na sua conta gerencial. Essa política impede que entidades principais na conta gerencial encerrem contas-membro especificadas no elemento `Resource`. 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}
```

------

# Removendo uma conta de membro de uma organização com AWS Organizations
<a name="orgs_manage_accounts_remove"></a>

 A remoção de uma conta-membro não encerra a conta, mas remove a conta-membro da organização. A antiga conta de membro se torna autônoma e Conta da AWS não é mais gerenciada por AWS Organizations.

Em seguida, a conta não estará mais sujeita a nenhuma política e será responsável por seus próprios pagamentos de contas. A conta gerencial da organização não é mais cobrada por nenhuma despesa acumulada pela conta após sua remoção da organização.

## Considerações
<a name="orgs_manage_account-before-remove"></a>

**Os perfis de acesso do IAM criados pela conta gerencial não são excluídas automaticamente**

Quando você remove uma conta de membro da organização, qualquer perfil do IAM criado para permitir o acesso pela conta gerencial da organização não é excluído automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente o perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do IAM*.

**Você pode remover uma conta de sua organização somente se a conta tem as informações necessárias para operar como uma conta autônoma**

Você pode remover uma conta de sua organização somente se a conta tem as informações necessárias para operar como uma conta autônoma. Quando você cria uma conta em uma organização usando o AWS Organizations console, a API ou os AWS CLI comandos, todas as informações exigidas das contas independentes *não* são coletadas automaticamente.

Para cada conta que você deseja tornar independente, você deve escolher um plano de suporte, fornecer e verificar as informações de contato necessárias e fornecer uma forma de pagamento atual. AWS usa a forma de pagamento para cobrar por qualquer AWS atividade faturável (não de nível AWS gratuito) que ocorra enquanto a conta não está vinculada a uma organização. Para remover uma conta que ainda não tem essas informações, siga as etapas em [Saindo de uma organização a partir de uma conta de membro com AWS Organizations](orgs_manage_accounts_leave-as-member.md).

**Você deve aguardar pelo menos quatro dias após a criação da conta**

Para remover uma conta que você criou na organização, você deve aguardar pelo menos quatro dias após a criação da conta. As contas convidadas não estão sujeitas a esse período de espera. 

**O proprietário da conta que sai se torna responsável por todos os novos custos acumulados**

No momento em que a conta deixa a organização com sucesso, o proprietário da Conta da AWS se torna responsável por todos os novos AWS custos acumulados e a forma de pagamento da conta é usada. A conta gerencial da organização não é mais responsável.

**A conta não pode ser uma conta de administrador delegado para nenhum AWS serviço habilitado para a organização**

A conta que você deseja remover não deve ser uma conta de administrador delegado para nenhum AWS serviço habilitado para sua organização. Se a conta for um administrador delegado, você deve primeiro alterar a conta de administrador delegado para outra conta que esteja permanecendo na organização. Para obter mais informações sobre como desabilitar ou alterar a conta de administrador delegado de um AWS serviço, consulte a documentação desse serviço.

**A conta não tem mais acesso aos dados de custo e uso**

Quando uma conta membro deixa uma organização, essa conta deixa de ter acesso aos dados de custo e uso no período quando a conta era membro da organização. No entanto, a conta gerencial da organização ainda pode acessar os dados. Se reentrar na organização, a conta poderá acessar novamente esses dados.

**As tags anexadas à conta são excluídas**

Quando uma conta-membro sai de uma organização, todas as tags anexadas à conta são excluídas.

**As entidades principais da conta não são mais afetadas por nenhuma política da organização**

As entidades primárias da conta não são mais afetadas pelas [políticas](orgs_manage_policies.md) que se aplicavam na organização. Isso significa que as restrições SCPs impostas por desapareceram e que os usuários e funções na conta podem ter mais permissões do que tinham antes. Outros tipos de política da organização não podem mais ser aplicados ou processados. 

**A conta não está mais coberta pelos contratos da organização**

Se uma conta-membro for removida de uma organização, ela não será mais coberta pelos contratos da organização. Os administradores das contas gerenciais deverão informar às contas-membro antes de removê-las da organização, para que elas possam colocar novos contratos em vigor, se necessário. Uma lista de acordos organizacionais ativos pode ser visualizada no AWS Artifact console na página [Acordos AWS Artifact Organizacionais](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements).

**A integração com outros serviços pode ser desabilitado**

A integração com outros serviços pode ser desativada. Se você remover uma conta de uma organização que tenha a integração com um AWS serviço habilitada, os usuários dessa conta não poderão mais usar esse serviço.

## Para remover uma conta-membro de uma organização
<a name="orgs_manage_accounts_remove-member-account"></a>

Quando faz login na conta gerencial da organização, você pode remover contas-membro da organização que não são mais necessárias. Para fazer isso, conclua o seguinte procedimento. Este procedimento se aplica somente a contas-membro. Para remover a conta gerencial, é necessário [excluir a organização](orgs_manage_org_delete.md).

**Permissões mínimas**  
Para remover uma ou mais contas-membro de sua organização, você deve fazer login como um usuário ou perfil na conta gerencial com as seguintes permissões:  
`organizations:DescribeOrganization` – necessária somente ao usar o console do Organizations
`organizations:RemoveAccountFromOrganization` 
Se você optar por fazer login como um usuário ou perfil em uma conta-membro na etapa 5, esse usuário ou perfil deverá ter as seguintes permissões:  
`organizations:DescribeOrganization` – necessária somente ao usar o console do Organizations.
`organizations:LeaveOrganization` – observe que o administrador da organização pode aplicar uma política para a sua conta que remove essa permissão, impedindo que você remova sua conta da organização.
Se quando você fizer login como usuário do IAM estiverem faltando informações de pagamento na conta, será necessário que o usuário tenha as permissões `aws-portal:ModifyBilling` e `aws-portal:ModifyPaymentMethods` (caso a conta ainda não tenha migrado para permissões refinadas) OU as permissões `payments:CreatePaymentInstrument` e `payments:UpdatePaymentPreferences` (caso a conta já tenha migrado para permissões refinadas). Além disso, a conta-membro precisa ter acesso de usuário do IAM ao faturamento habilitado. Se ele ainda não estiver habilitado, consulte [Ativar o acesso ao console do Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) no *Guia do usuário do AWS Billing *.

------
#### [ Console de gerenciamento da AWS ]

**Para remover uma conta-membro da sua organização**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.

1. Na página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, encontre e escolha a caixa de seleção![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/checkbox-selected.png) próxima à conta-membro que você deseja remover de sua organização. Você pode navegar na hierarquia da OU ou ativar a opção **Exibir Contas da AWS somente** para ver uma lista simples de contas sem a estrutura da OU. Se você tiver muitas contas, talvez seja necessário escolher **Load more accounts in '*ou-name*' (Carregar mais contas em ‘nome-uo’)** no fim da lista para encontrar todas que você deseja mover.

   Na página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, encontre e escolha o nome próximo à conta-membro que você deseja remover de sua organização. Talvez seja necessário expandir OUs (escolher a![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/console-expand.png)) para encontrar a conta que você deseja.

1. Selecione **Actions (Ações)**, então, em **Conta da AWS**, escolha **Remove from organization (Remover da organização)**.

1. Na seção **Remover conta “*nome da conta*” (\$1 *account-id-num*) da organização**? caixa de diálogo, escolha **Remover conta**.

1. Se AWS Organizations não conseguir remover uma ou mais contas, normalmente é porque você não forneceu todas as informações necessárias para que a conta funcione como uma conta independente. Siga estas etapas:

   1. Faça login na conta com falha. Recomendamos fazer login na conta-membro escolhendo **Copy link (Copiar link)** e colando-o na barra de endereço de uma nova janela de navegação incógnito. Se você não ver o **link Copiar**, use [este link](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) para acessar a página **Inscrever-se na AWS** e concluir as etapas de registro que restam. Se você não usar uma janela incognito, será desconectado da conta gerencial e não poderá navegar de volta para essa caixa de diálogo.

   1. O navegador leva você diretamente para o processo de cadastramento para concluir as etapas ausentes para essa conta. Conclua todas as etapas apresentadas. Isso pode incluir o seguinte:
      + Fornecer informações de contato
      + Fornecer um método de pagamento válido
      + Verificar o número de telefone
      + Selecionar uma opção de plano de suporte

   1. Depois de concluir a última etapa de inscrição, redireciona AWS automaticamente seu navegador para o AWS Organizations console da conta do membro. Escolha **Leave organization** e, em seguida, confirme sua escolha na caixa de diálogo de confirmação. Você será redirecionado para a página **Getting Started (Conceitos básicos)** do console do AWS Organizations , onde você pode visualizar convites pendentes para a sua conta para ingressar em outras organizações.

   1. Remova as funções do IAM que concedem acesso à sua conta a partir da organização.
**Importante**  
Se a conta foi criada na organização, o Organizations criou automaticamente um perfil do IAM na conta que habilitou o acesso pela conta gerencial da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente esse perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do IAM*.

------
#### [ AWS CLI & AWS SDKs ]

**Para remover uma conta-membro da sua organização**  
Você pode usar um dos seguintes comandos para remover uma conta-membro:
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)

  ```
  $ aws organizations remove-account-from-organization \
      --account-id 123456789012
  ```

  Esse comando não gera nenhuma saída quando é bem-sucedido.
+ AWS SDKs: [RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)

Depois que a conta-membro for removida da organização, certifique-se de remover da organização as funções do IAM que concedem acesso à sua conta.

**Importante**  
Se a conta foi criada na organização, o Organizations criou automaticamente um perfil do IAM na conta que habilitou o acesso pela conta gerencial da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente esse perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do IAM*.

Em vez disso, as contas-membro podem remover a si mesmas utilizando [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html). Para obter mais informações, consulte [Saindo de uma organização a partir de uma conta de membro com AWS Organizations](orgs_manage_accounts_leave-as-member.md).

------

# Saindo de uma organização a partir de uma conta de membro com AWS Organizations
<a name="orgs_manage_accounts_leave-as-member"></a>

Quando faz login em uma conta-membro, você pode sair de uma organização. A conta gerencial não pode deixar a organização usando essa técnica. Para remover a conta gerencial, é necessário [excluir a organização](orgs_manage_org_delete.md).

## Considerações
<a name="orgs_manage_accounts_leave-as-member-considerations"></a>

**O status de uma conta com uma organização afeta quais dados de custo e uso permanecem visíveis**

As contas mantêm acesso a todas as faturas anteriores entregues a elas e a todos os dados de faturas gerados por elas, independentemente das alterações na associação da organização. No entanto, a visibilidade dos dados do Cost Explorer está vinculada à associação atual da organização. A tabela abaixo mostra como três transições comuns de conta afetam a visibilidade dos dados:


****  

|  | Disponibilidade da fatura | Disponibilidade de faturas (por exemplo, página de faturas) | Disponibilidade do Cost Explorer | 
| --- | --- | --- | --- | 
| Cenário 1A conta do membro deixa a OrganizationA e se torna uma conta independente | A conta mantém acesso a todas as faturas históricas entregues a ela. | A conta mantém acesso a todos os dados históricos de faturas gerados como membro da OrganizationA. | A conta perde o acesso aos dados históricos de custo e uso gerados como membro da OrganizationA. | 
| Cenário 2A conta do membro sai da OrganizaçãoA e se junta à OrganizaçãoB | A conta mantém acesso a todas as faturas históricas entregues a ela. | A conta mantém acesso a todos os dados históricos de faturas gerados como membro da OrganizationA. | A conta perde o acesso aos dados históricos de custo e uso gerados como membro da OrganizationA. | 
| Cenário 3A conta reingressa em uma organização à qual pertencia anteriormente | A conta mantém acesso a todas as faturas históricas entregues a ela. | A conta mantém acesso a todos os dados históricos de faturas gerados (independentemente de serem gerados como uma conta independente ou como membro de outra organização). | A conta recupera o acesso aos dados de custo e uso durante todo o período em que foi membro da organização, mas perde o acesso a todos os custos e usos históricos gerados fora da organização atual. | 

**A conta não está mais coberta pelos contratos da organização que foram aceitos em seu nome**

Se você sair de uma organização, não está mais coberto pelos contratos da organização que foram aceitos em seu nome pela conta gerencial da organização. Você pode ver uma lista desses acordos organizacionais no AWS Artifact console na página [Acordos AWS Artifact da Organização](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements). Antes de deixar a organização, você deve determinar (com a ajuda da equipe jurídica, de privacidade ou de conformidade, se adequado) se é necessário ter novos contratos em vigor.

**Os limites de cota da conta podem mudar e causar impacto**

Deixar uma organização como conta membro pode afetar os limites de cota de serviço disponíveis para essa conta. Se você tiver cargas de trabalho automatizadas que exigem limites mais altos, revise suas cotas no console de cotas de serviço depois de deixar a organização para garantir uma experiência ininterrupta. Entre em contato com o [AWS Support Centro](https://console.aws.amazon.com/support/home#/) depois de deixar a organização para obter assistência.

## Sair de uma organização como uma conta-membro
<a name="orgs_manage_accounts_leave-as-member-steps"></a>

Para sair de uma organização, siga o procedimento a seguir.

**Permissões mínimas**  
Para sair de uma organização você deve ter as seguintes permissões:  
`organizations:DescribeOrganization` – necessária somente ao usar o console do Organizations.
`organizations:LeaveOrganization` – observe que o administrador da organização pode aplicar uma política para a sua conta que remove essa permissão, impedindo que você remova sua conta da organização.
Se quando você fizer login como usuário do IAM estiverem faltando informações de pagamento na conta, será necessário que o usuário tenha as permissões `aws-portal:ModifyBilling` e `aws-portal:ModifyPaymentMethods` (caso a conta ainda não tenha migrado para permissões refinadas) OU as permissões `payments:CreatePaymentInstrument` e `payments:UpdatePaymentPreferences` (caso a conta já tenha migrado para permissões refinadas). Além disso, a conta-membro precisa ter acesso de usuário do IAM ao faturamento habilitado. Se ele ainda não estiver habilitado, consulte [Ativar o acesso ao console do Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) no *Guia do usuário do AWS Billing *.

------
#### [ Console de gerenciamento da AWS ]

**Para sair de uma organização com sua conta-membro**

1. Faça login no AWS Organizations console no [AWS Organizations console](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta-membro.

   Por padrão, você não tem acesso à senha do usuário root em uma conta de membro que foi criada usando AWS Organizations. Se necessário, recupere a senha do usuário-raiz seguindo as etapas em **Usar o usuário-raiz (não recomendado para tarefas diárias)** em[Acessando contas de membros em uma organização com AWS Organizations](orgs_manage_accounts_access.md).

1. Na página **[Painel do Organizations](https://console.aws.amazon.com/organizations/v2/home/dashboard)**, escolha **Sair da organização**.

1. Na caixa de diálogo **Confirmar saída da organização?**, escolha **Sair da organização**. Quando solicitado, confirme sua escolha para remover a conta. Depois de confirmar, você será redirecionado para a página de **introdução** do AWS Organizations console, onde poderá ver todos os convites pendentes da sua conta para participar de outras organizações.

   Se você receber uma mensagem **Ainda não é possível sair da organização**, sua conta não tem todas as informações necessárias para operar como uma conta independente. Se for esse o caso, prosseguir para a próxima etapa.

1. Se a caixa de diálogo **Confirmar a saída da organização?** exibir a mensagem **Ainda não é possível sair da organização**, escolha o link **Concluir as etapas de inscrição da conta**.

   Se você não vir o link **Conclua as etapas de cadastro da conta**, use [este link](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) para acessar a página **Inscrever-se na AWS** e concluir as etapas de registro restantes.

1. Na página **Inscrever-se na  AWS**, insira todas as informações necessárias para que essa se torne uma conta independente. Isso pode incluir os seguintes tipos de informações:
   + Nome e endereço de contato
   + Método de pagamento válido
   + Verificação de número de telefone
   + Opções do plano de suporte

1. Quando for exibida a caixa de diálogo informando que o processo de cadastramento foi concluído, escolha **Leave organization**.

   Uma caixa de diálogo de confirmação é exibida. Confirme sua escolha para remover a conta. Você será redirecionado para a página de **introdução** do AWS Organizations console, onde poderá ver todos os convites pendentes da sua conta para participar de outras organizações.

1. Remova as funções do IAM que concedem acesso à sua conta a partir da organização.
**Importante**  
Se a conta foi criada na organização, o Organizations criou automaticamente um perfil do IAM na conta que habilitou o acesso pela conta gerencial da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente esse perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do IAM*.

------
#### [ AWS CLI & AWS SDKs ]

**Para sair de uma organização como uma conta-membro**  
Você pode usar um dos seguintes comandos para sair de uma organização:
+ AWS CLI:[leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)

  O exemplo a seguir faz com que a conta cujas credenciais são usadas para executar o comando saia da organização.

  ```
  $ aws organizations leave-organization
  ```

  Esse comando não gera nenhuma saída quando é bem-sucedido.
+ AWS SDKs: [LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)

Depois que a conta-membro sair da organização, certifique-se de remover da organização as funções do IAM que concedem acesso à sua conta.

**Importante**  
Se a conta foi criada na organização, o Organizations criou automaticamente um perfil do IAM na conta que habilitou o acesso pela conta gerencial da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente esse perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do IAM*.

As contas dos membros também podem ser removidas por um usuário na conta de gerenciamento [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)com. Para obter mais informações, consulte [Para remover uma conta-membro de uma organização](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account).

------

# Atualizando o nome da conta de uma conta de membro com AWS Organizations
<a name="orgs_manage_accounts_update_name"></a>

Ao iniciar sessão na conta gerencial da sua organização, você pode atualizar o nome da conta de membro. Para saber como atualizar o nome da conta de um membro, siga as etapas em [Atualizar o nome da conta de qualquer Conta da AWS membro da sua organização](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs) no *Guia de AWS Gerenciamento de contas referência*.

# Atualizando o endereço de e-mail do usuário raiz (endereço de ) para uma conta de membro com AWS Organizations
<a name="orgs_manage_accounts_update_primary_email"></a>

Para aumentar a segurança e a resiliência administrativa, as entidades principais do IAM na conta gerencial (que têm as permissões necessárias do IAM) podem atualizar centralmente um endereço de e-mail do usuário-raiz (também chamado de endereço de e-mail principal) para qualquer uma de suas contas de membro sem precisar fazer login em cada conta individualmente. Isso dá aos administradores na conta gerencial (ou em uma conta de administrador delegado) mais controle sobre suas contas-membro. Também garante que os endereços de e-mail do usuário raiz Os endereços de de qualquer conta membro em toda a sua conta AWS Organizations possam ser mantidos atualizados, mesmo quando você pode ter perdido o acesso ao endereço de e-mail do usuário raiz original ou às credenciais administrativas .

Quando o endereço de e-mail do usuário-raiz é alterado centralmente por um administrador da conta gerencial, tanto a senha como a configuração da MFA permanecerão as mesmas de antes da alteração. Observe que o MFA pode ser ignorado por um usuário com controle do endereço de e-mail do usuário-raiz e do número de telefone do contato principal da conta. 

Para atualizar o endereço de e-mail do usuário raiz (endereço de ) de uma conta membro em sua organização, sua organização deve ter habilitado anteriormente o modo de [todos os recursos](orgs_getting-started_concepts.md#feature-set-all). AWS Organizations no modo de cobrança consolidada ou contas que não fazem parte de uma organização, não podem atualizar o endereço de e-mail do usuário raiz (endereço de e-mail . Os usuários que quiserem alterar o endereço de e-mail do usuário-raiz para contas que não são compatíveis com a API devem continuar usando o Console de faturamento para gerenciar o endereço de e-mail do usuário-raiz.

Para step-by-step obter instruções sobre como atualizar o endereço de e-mail do usuário raiz da sua conta membro (endereço de ), consulte [Atualizar o e-mail do usuário raiz para qualquer Conta da AWS pessoa da sua organização](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs) no *Guia de AWS Gerenciamento de contas referência*.