As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciando contas em uma organização com AWS Organizations
An *Conta da AWS*é um contêiner para seus AWS recursos. Você cria e gerencia seus AWS recursos em um Conta da AWS.
Este tópico descreve como gerenciar contas para AWS Organizations.
**Topics**
+ [conta gerencial](orgs-manage_accounts_management.md)
+ [Contas-membros](orgs-manage_accounts_members.md)
+ [Convites de contas](orgs_manage_accounts_invites.md)
+ [Migrar uma conta](orgs_account_migration.md)
+ [Visualizar detalhes de uma conta](orgs_view_account.md)
+ [Exportar detalhes da conta](orgs_manage_accounts_export.md)
+ [Monitorar estados da conta](orgs_manage_accounts_account_state.md)
+ [Atualizar os contatos alternativos de uma conta](orgs_manage_accounts_update_contacts.md)
+ [Atualizar contato principal de uma conta](orgs_manage_accounts_update_contacts_primary.md)
+ [Atualização Regiões da AWS para uma conta](orgs_manage_accounts_update_enabled_regions.md)
# Gerenciando a conta de gerenciamento com AWS Organizations
*Uma conta de gerenciamento* é aquela Conta da AWS que você usa para criar sua organização.
A conta gerencial é a proprietária final da organização, com controle final sobre as políticas de segurança, infraestrutura e finanças. Essa conta tem o papel de uma conta pagadora e é responsável pelo pagamento de todos as cobranças acumuladas pelas contas em sua organização.
Este tópico descreve como gerenciar a conta de gerenciamento com AWS Organizations.
**Topics**
+ [Práticas recomendadas para a conta gerencial](orgs_best-practices_mgmt-acct.md)
+ [Como encerrar uma conta gerencial](orgs_manage_accounts_close_management.md)
# Práticas recomendadas para a conta gerencial
Siga estas recomendações para ajudar a proteger a segurança da conta gerencial no AWS Organizations. Essas recomendações pressupõem que você também siga as[ práticas recomendadas de uso do usuário-raiz somente para as tarefas que realmente o exigem](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).
**Topics**
+ [Limitar quem tem acesso à conta gerencial](#bp_mgmt-acct_limit-access)
+ [Revisar e controlar quem tem acesso](#bp_mgmt-acct_review-access)
+ [Use a conta gerencial somente para tarefas que ***exijam*** a conta gerencial](#bp_mgmt-acct_use-mgmt)
+ [Evite implantar workloads na conta gerencial da organização](#bp_mgmt-acct_avoid-deploying)
+ [Delegar responsabilidades fora da conta gerencial para descentralização](#bp_mgmt-acct_)
## Limitar quem tem acesso à conta gerencial
A conta de gerenciamento é fundamental para todas as tarefas administrativas mencionadas, como gerenciamento de contas, políticas, integração com outros AWS serviços, faturamento consolidado e assim por diante. Portanto, você deve restringir e limitar o acesso à conta gerencial somente para os usuários administradores que precisam de direitos para fazer alterações na organização.
## Revisar e controlar quem tem acesso
Para garantir a manutenção do acesso à conta gerencial, revise periodicamente quem em sua empresa tem acesso ao endereço de e-mail, senha, MFA e número de telefone associados a ela. Alinhe sua revisão com os procedimentos existentes da empresa. Adicione uma revisão mensal ou trimestral dessas informações para verificar se apenas as pessoas corretas têm acesso. Certifique-se de que o processo para recuperar ou redefinir o acesso às credenciais do usuário-raiz não dependa de nenhum indivíduo específico para ser concluído. Todos os processos devem levar em conta a possibilidade de pessoas estarem indisponíveis.
## Use a conta gerencial somente para tarefas que ***exijam*** a conta gerencial
Recomendamos usar a conta gerencial e seus usuários e perfis somente para as tarefas que só podem ser executadas por essa conta. Armazene todos os seus AWS recursos Contas da AWS em outras partes da organização e mantenha-os fora da conta de gerenciamento. Um motivo importante para manter seus recursos em outras contas é porque as políticas de controle de serviços (SCPs) da Organizations não funcionam para restringir nenhum usuário ou função na conta de gerenciamento. Separar seus recursos da conta gerencial também ajuda a entender os lançamentos em suas faturas.
Para obter uma lista de tarefas que devem ser chamadas da conta gerencial, consulte [Operations you can call from only the organization's management account ](https://docs.aws.amazon.com/organizations/latest/APIReference/action-reference.html#actions-management-account).
## Evite implantar workloads na conta gerencial da organização
As operações privilegiadas podem ser realizadas na conta de gerenciamento de uma organização e SCPs não se aplicam à conta de gerenciamento. É por isso que você deve limitar os recursos e dados da nuvem contidos na conta gerencial somente àqueles que devem ser gerenciados nessa conta.
## Delegar responsabilidades fora da conta gerencial para descentralização
Sempre que possível, recomendamos delegar responsabilidades e serviços fora da conta gerencial. Forneça às suas equipes permissões em suas próprias contas para gerenciar as necessidades da organização para que não seja necessário acessar a conta gerencial. Além disso, você pode registrar vários administradores delegados para serviços que oferecem suporte a essa funcionalidade, como compartilhamento AWS Service Catalog de software em toda a organização ou criação e implantação CloudFormation StackSets de pilhas.
Para obter mais informações, consulte [Arquitetura de referência de segurança](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html), [Organizando seu AWS ambiente usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) e [Serviços da AWS que você pode usar com AWS Organizations](orgs_integrate_services_list.md) sugestões sobre como registrar contas de membros como administrador delegado para vários AWS serviços.
Para obter mais informações sobre como configurar administradores delegados, consulte [Habilitar uma conta de administrador delegado para o AWS Gerenciamento de contas](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs-delegated-admin.html) e [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
# Como encerrar uma conta-membro em sua organização
Para encerrar a conta gerencial da organização, você deve primeiro [encerrar](orgs_manage_accounts_close.md) ou [remover](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account) todas as contas-membro da organização. O ato de encerrar a conta gerencial também exclui a instância do AWS Organizations e todas as políticas que você criou dentro dessa organização após o término do [período pós-encerramento](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period).
## Encerrar a conta gerencial
Use o procedimento a seguir para encerrar uma conta gerencial.
**Importante**
Antes de encerrar sua conta gerencial, é altamente recomendável que você analise as considerações e entenda o impacto do encerramento de uma conta. Para obter mais informações, consulte [O que você precisa saber antes de encerrar a conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) e [O que esperar depois de encerrar a conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) no *Guia de gerenciamento de contas da AWS *.
------
#### [ AWS Management Console ]
**Para encerrar uma conta gerencial na página Contas**
**nota**
Você não pode encerrar uma conta gerencial diretamente no console do AWS Organizations .
1. [Faça login Console de gerenciamento da AWS como usuário root da](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) conta de gerenciamento que você deseja fechar. Você não poderá encerrar uma conta se tiver feito login como usuário ou perfil do IAM.
1. Verifique se não há contas-membro ativas restantes em sua organização. Para isso, use o [console do AWS Organizations](https://console.aws.amazon.com/organizations). Se você tiver uma conta de membro que ainda esteja ativa, precisará seguir as orientações fornecidas em [Fechando uma conta de membro em uma organização com AWS Organizations](orgs_manage_accounts_close.md) ou [Para remover uma conta-membro de uma organização](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account) antes de passar para a próxima etapa.
1. No canto superior direito da barra de navegação, selecione o nome ou número da conta e, em seguida, selecione **Conta**.
1. Na página [https://console.aws.amazon.com/billing/home#/account](https://console.aws.amazon.com/billing/home#/account), escolha o botão **Encerrar conta**. Leia e certifique-se de que entendeu as orientações para o encerramento da conta.
1. Escolha o botão **Encerrar conta** para iniciar o processo de encerramento da conta.
1. Em alguns minutos, você receberá uma confirmação por e-mail de que a conta foi encerrada.
------
#### [ AWS CLI & AWS SDKs ]
Essa tarefa não é suportada no AWS CLI ou por uma operação de API de um dos AWS SDKs. Você pode executar essa tarefa somente usando Console de gerenciamento da AWS o.
------
# Gerenciando contas de membros com AWS Organizations
Uma *conta de membro* é uma conta Conta da AWS, diferente da conta de gerenciamento, que faz parte de uma organização.
Este tópico descreve como gerenciar contas de membros com AWS Organizations.
**Topics**
+ [Práticas recomendadas para contas-membro](orgs_best-practices_member-acct.md)
+ [Criar uma conta-membro](orgs_manage_accounts_create.md)
+ [Acessar contas-membro](orgs_manage_accounts_access.md)
+ [Fechar uma conta-membro](orgs_manage_accounts_close.md)
+ [Como proteger contas-membro contra o fechamento](orgs_account_close_policy.md)
+ [Remover uma conta-membro](orgs_manage_accounts_remove.md)
+ [Como sair de uma organização como uma conta-membro](orgs_manage_accounts_leave-as-member.md)
+ [Atualizar o nome da conta de membro](orgs_manage_accounts_update_name.md)
+ [Atualizar o e-mail do usuário-raiz para uma conta de membro](orgs_manage_accounts_update_primary_email.md)
# Práticas recomendadas para contas-membro
Siga estas recomendações para ajudar a proteger a segurança das contas membro em sua organização. Essas recomendações pressupõem que você também siga as [práticas recomendadas de uso do usuário-raiz somente para as tarefas que realmente o exigem](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).
**Topics**
+ [Definir o nome e os atributos da conta](#bp_member-acct_define-acct)
+ [Escalar com eficiência o ambiente e o uso da conta](#bp_member-acct_efficiently-scale)
+ [Habilite o gerenciamento de acesso raiz para simplificar o gerenciamento das credenciais de usuário-raiz para contas de membros](#bp_member-acct_root-access-management)
## Definir o nome e os atributos da conta
Para suas contas-membro, use uma estrutura de nomes e um endereço de e-mail que reflita o uso da conta. Por exemplo, `Workloads+fooA+dev@domain.com` para `WorkloadsFooADev`, `Workloads+fooB+dev@domain.com` para `WorkloadsFooBDev`. Se houver tags personalizadas definidas para sua organização, recomendamos a você atribuir essas tags em contas que reflitam o uso da conta, o centro de custos, o ambiente e o projeto. Isso torna mais fácil identificar, organizar e pesquisar contas.
## Escalar com eficiência o ambiente e o uso da conta
Ao escalar, antes de criar novas contas, certifique-se de que ainda não existam contas para necessidades semelhantes, para evitar duplicações desnecessárias. Contas da AWS devem basear-se em requisitos comuns de acesso. Se você planeja reutilizar as contas, como uma conta de sandbox ou equivalente, recomendamos limpar quaisquer recursos ou workloads desnecessários das contas, mas salve as contas para uso futuro.
Antes de encerrar contas, observe que elas estão sujeitas aos limites de cota de fechamento de contas. Para obter mais informações, consulte [Cotas e limites de serviço para AWS Organizations](orgs_reference_limits.md). Considere implementar um processo de limpeza para reutilizar contas em vez de encerrá-las e criar novas quando possível. Dessa forma, você evitará incorrer em custos com a execução de recursos e o alcance dos limites [CloseAccount da API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html).
## Habilite o gerenciamento de acesso raiz para simplificar o gerenciamento das credenciais de usuário-raiz para contas de membros
Recomendamos que você habilite o gerenciamento de acesso raiz para ajudar a monitorar e remover as credenciais de usuário-raiz das contas de membros. O gerenciamento do acesso raiz impede a recuperação das credenciais do usuário-raiz, melhorando a segurança da conta em sua organização.
+ Remova as credenciais do usuário-raiz das contas de membros para impedir o login como usuário-raiz Isso também evita que contas de membros recuperem o usuário-raiz.
+ Considere uma sessão privilegiada para realizar as seguintes tarefas nas contas dos membros:
+ Remova uma política de bucket mal configurada que negue a todas as entidades principais o acesso ao bucket do Amazon S3.
+ Exclua uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
+ Permita que uma conta de membro recupere suas credenciais de usuário-raiz. A pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta de membro poderá redefinir a senha do usuário-raiz e fazer login no usuário-raiz da conta de membro.
Depois que o gerenciamento do acesso raiz é ativado, as contas de membros recém-criadas não têm secure-by-default credenciais de usuário raiz, o que elimina a necessidade de segurança adicional, como MFA após o provisionamento.
Consulte mais informações em [Centralizar credenciais de usuário-raiz para contas de membros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management) no *Guia do usuário do AWS Identity and Access Management *.
### Use um SCP para restringir o que o usuário-raiz de suas contas-membro pode fazer
Recomendamos que você crie uma política de controle de serviço (SCP) na organização e anexe-a à raiz da organização para que ela se aplique a todas as contas-membro. Para obter mais informações, consulte [Proteja as credenciais de usuário raiz da conta Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations).
Você pode negar todas as ações da raiz, exceto uma ação exclusiva à raiz que deve ser executada em sua conta-membro. Por exemplo, o SCP a seguir impede que o usuário raiz em qualquer conta membro faça qualquer chamada de API de AWS serviço, exceto “Atualizar uma política de bucket do S3 que foi configurada incorretamente e nega acesso a todos os principais” (uma das ações que exige credenciais raiz). Para obter mais informações, consulte [Tarefas que exigem credenciais de usuário raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) no *Guia do usuário do IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotAction":[
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:DeleteBucketPolicy"
],
"Resource": "*",
"Condition": {
"ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
}
}
]
}
```
------
Na maioria das circunstâncias, quaisquer tarefas administrativas podem ser executadas por um perfil do AWS Identity and Access Management (IAM) na conta-membro com as permissões de administrador relevantes. Esses perfis devem ter controles adequados aplicados para limitar, registrar e monitorar atividades.
# Criação de uma conta de membro em uma organização com AWS Organizations
Este tópico descreve como criar Contas da AWS em sua organização em AWS Organizations. Para obter informações sobre como criar um single Conta da AWS, consulte o [Centro de recursos de introdução](https://aws.amazon.com/getting-started/).
## Considerações antes de criar uma conta-membro
**O Organizations cria automaticamente o perfil do IAM `OrganizationAccountAccessRole` para a conta-membro**
Quando você cria uma conta-membro em sua organização, o Organizations cria automaticamente um perfil do IAM `OrganizationAccountAccessRole` na conta-membro, permitindo que os usuários e perfis na conta gerencial exerçam controle administrativo completo sobre a conta-membro. Todas as contas adicionais vinculadas à mesma política gerenciada sejam atualizadas automaticamente sempre que a política for atualizada. Essa função está sujeita a qualquer [política de controle de serviço (SCPs)](orgs_manage_policies_scps.md) que se aplique à conta do membro.
**O Organizations cria automaticamente o perfil vinculado ao serviço `AWSServiceRoleForOrganizations` para a conta de membro**
Quando você cria uma conta de membro em sua organização, o Organizations cria automaticamente uma função vinculada ao serviço `AWSServiceRoleForOrganizations` na conta do membro que permite a integração com serviços selecionados AWS . Você deve configurar os outros serviços para permitir a integração. Para obter mais informações, consulte [AWS Organizations e funções vinculadas ao serviço](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
**As contas-membro só podem ser criadas na raiz de uma organização**
As contas de membro só podem ser criadas na raiz de uma organização Depois de criar uma conta de membro raiz de uma organização, você pode movê-la entre OUs. Para obter mais informações, consulte [Movendo contas para uma unidade organizacional (OU) ou entre a raiz e OUs com AWS Organizations](move_account_to_ou.md).
**As políticas vinculadas à raiz se aplicam imediatamente**
Se você tiver alguma política anexada à raiz, essa política será aplicada imediatamente a todos os usuários e funções na conta criada.
Se você [habilitou a confiança de serviço para outro AWS serviço](orgs_integrate_services_list.md) da sua organização, esse serviço confiável pode criar funções vinculadas ao serviço ou realizar ações em qualquer conta membro da organização, incluindo sua conta criada.
**As contas-membro devem optar por receber e-mails de marketing**
As contas de membros que você cria como parte de uma organização não são automaticamente inscritas em e-mails AWS de marketing. Para inscrever suas contas para receber e-mails de marketing, consulte [https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences).
**As contas de membros de organizações gerenciadas por AWS Control Tower devem ser criadas em AWS Control Tower**
Se sua organização for gerenciada por AWS Control Tower, recomendamos que você crie suas contas de membros usando a fábrica de AWS Control Tower contas no AWS Control Tower console ou usando AWS Control Tower APIs o.
Se você criar uma conta de membro em Organizations quando a organização for gerenciada por AWS Control Tower, a conta não será registrada com AWS Control Tower. Para obter mais informações, consulte [Referência a recursos fora do AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources) no *Manual do usuário do AWS Control Tower *.
## Crie uma conta de membro
Depois de fazer login na conta gerencial da organização, você pode criar contas-membro que são parte de sua organização.
Ao criar uma conta usando o procedimento a seguir, copia AWS Organizations automaticamente as seguintes informações de **contato principal** da conta de gerenciamento para a nova conta de membro:
+ Número de telefone
+ Company name (Nome da empresa)
+ URL do site
+ Endereço
O Organizations também copia a linguagem de comunicação e as informações do Marketplace (fornecedor da conta em alguns Regiões da AWS casos) da conta de gerenciamento.
**Permissões mínimas**
Para criar uma conta membro em sua organização, você deve ter as seguintes permissões:
`organizations:DescribeOrganization` – necessário somente ao usar o console do Organizations
`organizations:CreateAccount`
### Console de gerenciamento da AWS
**Para criar um Conta da AWS que seja automaticamente parte da sua organização**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Na página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, selecione **Adicionar uma Conta da AWS**.
1. Na página **[Adicionar uma Conta da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, selecione **Criar uma Conta da AWS** (essa opção é escolhida por padrão).
1. Na página **[Criar uma Conta da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, em **Nome da Conta da AWS **, insira o nome que deseja atribuir à conta. Esse nome ajuda você a distinguir a conta de todas as outras contas na organização e é distinto do alias do IAM ou do nome do e-mail do proprietário.
1. Para **Email address of the account's owner (Endereço de e-mail do proprietário da conta)**, insira o endereço de e-mail do proprietário da conta. Esse endereço de e-mail ainda não pode estar associado a outro Conta da AWS porque se torna a credencial do nome de usuário do usuário raiz da conta.
1. (Opcional) Especifique o nome a ser atribuído à função do IAM que é criada automaticamente na nova conta. Essa função concede a permissão à conta gerencial organização para acessar a conta-membro recém-criada. Se você não especificar um nome, AWS Organizations atribua à função um nome padrão de`OrganizationAccountAccessRole`. Recomendamos que você use o nome padrão em todas as contas, por consistência.
**Importante**
Lembre-se do nome do perfil. Você precisará dele posteriormente para conceder acesso à nova conta para usuários e perfis na conta gerencial.
1. (Opcional) Na seção **Tags (Tags)**, adicione uma ou mais tags à nova conta selecionando **Add tag (Adicionar tag)** e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma conta.
1. Escolha **Criar Conta da AWS**.
+ Se você receber um erro indicando que excedeu a cota de conta da organização, consulte [Recebo uma mensagem "cota excedida" ao tentar adicionar uma conta à minha organização](orgs_troubleshoot.md#troubleshoot_general_error-adding-account).
+ Se você receber um erro que indica que você não pode adicionar uma conta porque sua organização ainda está inicializando, aguarde uma hora e tente novamente.
+ Você também pode verificar o AWS CloudTrail registro para obter informações sobre se a criação da conta foi bem-sucedida. Para obter mais informações, consulte [Registro e monitoramento em AWS Organizations](orgs_security_incident-response.md).
+ Se o erro persistir, entre em contato com o [AWS Support](https://console.aws.amazon.com/support/home#/).
A página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** é exibida, com a nova conta adicionada à lista.
1. Agora que a conta existe e tem um perfil do IAM que concede acesso de administrador aos usuários da conta gerencial, você pode acessar a conta seguindo as etapas em [Acessando contas de membros em uma organização com AWS Organizations](orgs_manage_accounts_access.md).
### AWS CLI & AWS SDKs
Os exemplos de código a seguir mostram como usar o `CreateAccount`.
------
#### [ .NET ]
**SDK para .NET**
Tem mais sobre GitHub. Encontre o exemplo completo e saiba como configurar e executar no [AWS Code Examples Repository](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples).
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new AWS Organizations account.
///
public class CreateAccount
{
///
/// Initializes an Organizations client object and uses it to create
/// the new account with the name specified in accountName.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var accountName = "ExampleAccount";
var email = "someone@example.com";
var request = new CreateAccountRequest
{
AccountName = accountName,
Email = email,
};
var response = await client.CreateAccountAsync(request);
var status = response.CreateAccountStatus;
Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
}
}
```
+ Para obter detalhes da API, consulte [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)a *Referência AWS SDK para .NET da API*.
------
#### [ CLI ]
**AWS CLI**
**Como criar uma conta de membro que automaticamente faça parte da organização**
O exemplo a seguir mostra como criar uma conta de membro em uma organização. A conta de membro é configurada com o nome Production Account e o endereço de e-mail susan@example.com. Organizations cria automaticamente uma função do IAM usando o nome padrão de OrganizationAccountAccessRole porque o parâmetro roleName não está especificado. Além disso, a configuração que permite que usuários ou funções do IAM com permissões suficientes acessem os dados de faturamento da conta é definida com o valor padrão de ALLOW porque o IamUserAccessToBilling parâmetro não foi especificado. Organizations envia automaticamente a Susan um e-mail de “Bem-vindo a AWS”:
```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
A saída inclui um objeto de solicitação que mostra que o status agora é `IN_PROGRESS`:
```
{
"CreateAccountStatus": {
"State": "IN_PROGRESS",
"Id": "car-examplecreateaccountrequestid111"
}
}
```
Posteriormente, você pode consultar o status atual da solicitação fornecendo o valor de resposta Id ao describe-create-account-status comando como o valor do create-account-request-id parâmetro.
Para obter mais informações, consulte Criando uma AWS conta em sua organização no *Guia do Usuário do AWS Organizations*.
+ Para obter detalhes da API, consulte [CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)em *Referência de AWS CLI Comandos*.
------
# Acessando contas de membros em uma organização com AWS Organizations
Quando você cria uma conta na organização, além do usuário-raiz, o AWS Organizations cria automaticamente uma função do IAM denominada `OrganizationAccountAccessRole` por padrão. Você pode especificar um nome diferente ao criá-lo, mas recomendamos que você o nomeie de forma consistente em todas as suas contas. AWS Organizations não cria nenhum outro usuário ou função.
Para acessar as contas em sua organização, você deve usar um dos seguintes métodos:
**Permissões mínimas**
Para acessar e Conta da AWS de qualquer outra conta em sua organização, você deve ter a seguinte permissão:
`sts:AssumeRole` – o elemento `Resource` deve ser definido como um asterisco (\$1) ou o número do ID da conta com o usuário que precisa acessar a nova conta-membro
------
#### [ Using the root user (Not recommended for everyday tasks) ]
Quando você criar uma nova conta de membro na sua organização, a conta não terá credenciais de usuário-raiz por padrão. As contas-membro não podem fazer login com o usuário-raiz nem realizar a recuperação da senha do usuário-raiz, a menos que a recuperação de conta esteja habilitada.
Você pode [centralizar o acesso raiz para contas de membros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), removendo as credenciais de usuário-raiz das contas de membros existentes em sua organização. A exclusão das credenciais do usuário-raiz removerá a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativará a autenticação multifator (MFA). Essas contas-membro não têm credenciais de usuário-raiz, não podem fazer login como usuário-raiz e são impedidas de recuperar a senha do usuário-raiz. As novas contas que você criar no Organizations não terão credenciais de usuário-raiz por padrão.
Entre em contato com seu administrador se precisar realizar uma tarefa que exija credenciais de usuário-raiz em uma conta de membro na qual essas credenciais não estejam presentes.
Para acessar a conta de membro como o usuário-raiz, você precisa passar pelo processo de recuperação de senha. Consulte [Esqueci a senha de usuário-raiz da minha Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) no *Guia do usuário do AWS Sign-In* para obter mais informações.
Se você precisa acessar uma conta de membro usando o usuário-raiz, siga as práticas recomendadas:
+ Não use o usuário-raiz para acessar a conta para nada além de criar outros usuários e funções com permissões mais limitadas. Em seguida, faça login como um desses usuários ou funções.
+ [Habilitar a autenticação multifator (MFA) no usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa) Redefina a senha e [atribua um dispositivo MFA ao usuário raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).
Para obter a lista completa das tarefas que exigem login como usuário-raiz, consulte [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do Usuário do IAM*. Para obter mais recomendações de segurança do usuário-raiz, consulte [Práticas recomendadas do usuário-raiz para sua Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) no *Guia do usuário do IAM* .
------
#### [ Using trusted access for IAM Identity Center ]
Use [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)e habilite o acesso confiável para o IAM Identity Center com AWS Organizations. Isso permite que os usuários entrem no portal de AWS acesso com suas credenciais corporativas e acessem recursos na conta de gerenciamento atribuída ou nas contas de membros.
Para obter mais informações, consulte [Permissões para várias contas](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) no *Guia do usuário do Centro de Identidade do AWS IAM *. Para obter informações sobre como configurar o acesso confiável para o IAM Identity Center, consulte [Centro de Identidade do AWS IAM and AWS Organizations](services-that-can-integrate-sso.md).
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
Se você criar uma conta usando as ferramentas fornecidas como parte do AWS Organizations, poderá acessar a conta usando a função pré-configurada chamada `OrganizationAccountAccessRole` que existe em todas as novas contas que você cria dessa forma. Para obter mais informações, consulte [Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Se você convidar uma conta existente para participar de sua organização e a conta aceitar o convite, poderá optar por criar um perfil do IAM que permita o acesso da conta gerencial à conta-membro. Essa função deve ser idêntica à função adicionada automaticamente a uma conta criada com o AWS Organizations.
Para criar essa função, consulte [Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Depois de criar a função, acesse-a usando as etapas em [Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
------
**Topics**
+ [Como criar um perfil de acesso do IAM](orgs_manage_accounts_create-cross-account-role.md)
+ [Como usar o perfil de acesso do IAM](orgs_manage_accounts_access-cross-account-role.md)
# Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations
Por padrão, se você criar a conta-membro como parte de sua organização, a AWS criará automaticamente uma função na conta que concede permissões de administrador aos usuários do IAM na conta de gerenciamento que podem assumir a função. Por padrão, essa função é denominada `OrganizationAccountAccessRole`. Para obter mais informações, consulte [Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
No entanto, contas de associado que você *convida* para participar da sua organização ***não*** recebem automaticamente a função de administrador criada. Você precisa fazer isso manualmente, como mostrado no procedimento a seguir. Isso duplica a função configurada automaticamente para as contas criadas. Recomendamos que você use o mesmo nome, `OrganizationAccountAccessRole`, para suas funções criadas manualmente, para consistência e facilidade de lembrar.
------
#### [ Console de gerenciamento da AWS ]
**Para criar uma função de AWS Organizations administrador em uma conta de membro**
1. Faça login no console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta-membro. O usuário ou a função deve ter permissão para criar funções e políticas do IAM.
1. No console do IAM acesse **Perfis** e, em seguida, escolha **Criar perfil**.
1. Escolha e **Conta da AWS**, em seguida, selecione **Outro Conta da AWS**.
1. Insira o número de ID de 12 dígitos da conta de gerenciamento à qual você deseja conceder acesso de administrador. Em **Opções**, observe o seguinte:
+ Para essa função, porque as contas são internar à empresa, você **não** deve escolher **Require external ID (Requerer ID externo)**. Para obter mais informações sobre a opção de ID externo, consulte [Quando devo usar um ID externo?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) no *Guia do usuário do IAM*.
+ Se tiver MFA habilitado e configurado, você também poderá optar por exigir autenticação usando um dispositivo Multi-Factor Authentication (MFA – Autenticação multifator). Para obter mais informações sobre MFA, consulte [Uso da autenticação multifator (MFA) na AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) no *Guia do usuário do IAM*.
1. Escolha **Próximo**.
1. Na página **Adicionar permissões**, selecione a política gerenciada da AWS denominada `AdministratorAccess` e, em seguida, selecione **Próximo**.
1. Na página **Nomear, revisar e criar**, especifique um nome de perfil e uma descrição opcional. Recomendamos que você use `OrganizationAccountAccessRole`, para manter a consistência com o nome padrão atribuído à função nas novas contas. Para confirmar as alterações, escolha **Criação de função**.
1. Sua nova função é exibida na lista de funções disponíveis. Escolha o novo nome da função para ver os detalhes, prestando atenção especial no URL do link que é fornecido. Dê esse URL aos usuários da conta-membro que precisam acessar a função. Além disso, anote o **Role ARN (ARN da função)**, pois você precisará dele na etapa 15.
1. Faça login no console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Dessa vez, faça login como usuário na conta de gerenciamento que tem permissões para criar políticas e atribuí-las a usuários ou grupos.
1. Acesse **Políticas** e escolha **Criar política**.
1. Para **Service**, escolha **STS**.
1. Para **Actions (Ações)**, comece digitando **AssumeRole** na caixa **Filter (Filtro)** e marque a caixa de seleção próxima a ela quando aparecer.
1. Em **Recursos**, certifique-se de que **Específico** esteja selecionado e escolha **Adicionar ARNs**.
1. Insira o número de ID AWS da conta do membro e, em seguida, insira o nome da função que você criou anteriormente nas etapas de 1 a 8. Escolha **Add (Adicionar) ARNs**.
1. Se você estiver concedendo permissão para assumir a função em várias contas membro, repita as etapas 14 e 15 para cada conta.
1. Escolha **Próximo**.
1. Na página **Revisar e criar**, insira um nome para a nova política e selecione **Criar política** para salvar suas alterações.
1. Escolha **Grupos de usuário** no painel de navegação e escolha o nome do grupo (não a caixa de seleção) que você deseja usar para delegar a administração da conta-membro.
1. Escolha a aba **Permissões**.
1. Escolha **Adicionar permissões**, **Anexar política** e selecione a política que criou nas etapas 11–18.
------
Os usuários que são membros do grupo selecionado agora podem usar o URLs que você capturou na etapa 9 para acessar a função de cada conta de membro. Eles podem acessar essas contas membros da mesma forma como acessariam uma conta que você cria na organização. Para obter mais informações sobre como usar a função para administrar uma conta-membro, consulte [Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
# Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations
Quando você cria uma conta de membro usando o AWS Organizations console, cria AWS Organizations *automaticamente* uma função do IAM nomeada `OrganizationAccountAccessRole` na conta. Essa função tem permissões administrativas completas na conta do membro. O escopo de acesso para essa função inclui todas as entidades principais na conta de gerenciamento, de modo que a função esteja configurada para conceder esse acesso à conta de gerenciamento da organização.
Você pode criar uma função idêntica para a conta de um membro convidado seguindo as etapas de [Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Para usar essa função para acessar a conta-membro, você deve fazer login como usuário a partir da conta de gerenciamento que tem permissão para assumir a função. Para configurar essas permissões, execute o procedimento a seguir. Recomendamos que você conceda permissões a grupos em vez de usuários para a facilidade de manutenção.
------
#### [ Console de gerenciamento da AWS ]
**Para conceder permissões a membros de um grupo do IAM na conta de gerenciamento para acessar a função**
1. Faça login no console do IAM [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)como um usuário com permissões de administrador na conta de gerenciamento. Isso é necessário para delegar permissões para o grupo do IAM cujos usuários terão acesso à função na conta-membro.
1. Comece criando a política gerenciada de que você precisará posteriormente em [Step 14](#step-choose-group).
No painel de navegação, escolha **Policies (Políticas)** e, em seguida, selecione **Create policy (Criar política)**.
1. Na guia Visual editor, escolha **Choose a service**, digite **STS** na caixa de pesquisa para filtrar a lista e escolha a opção **STS**.
1. Na seção **Ações**, insira **assume** na caixa de pesquisa para filtrar a lista e escolha a **AssumeRole**opção.
1. Na seção **Recursos**, escolha **Específico**, escolha **Adicionar ARNs**
1. Na seção **Specify ARN(s)**, escolha **Other account** para o recurso.
1. Insira o ID da conta-membro que você acabou de criar
1. Em **Resource role name with path**, insira o nome do perfil criado na seção anterior (recomendamos dar a ele o nome `OrganizationAccountAccessRole`).
1. Escolha **Adicionar ARNs** quando a caixa de diálogo exibir o ARN correto.
1. (Opcional) Se desejar exigir autenticação multifator (MFA) ou restringir o acesso à função a partir de um intervalo de endereços IP especificado, expanda a seção Request conditions (Condições de solicitação) e selecione as opções que deseja impor.
1. Escolha **Próximo**.
1. Na página **Review and create**, insira um nome para a política. Por exemplo: **GrantAccessToOrganizationAccountAccessRole**. Você também pode adicionar uma descrição opcional.
1. Escolha **Criar política** para salvar a nova política gerenciada.
1. Agora que você tem a política disponível, poderá associá-la a um grupo.
No painel de navegação, escolha **Groups** e selecione o nome do grupo (não a caixa de seleção) cujos membros você deseja que assumam a função na conta-membro. Se necessário, você poderá criar outro grupo.
1. Escolha a guia **Permissões**, escolha **Adicionar permissões** e depois **Anexar políticas**.
1. (Opcional) Na caixa **Search (Pesquisar)**, é possível começar a digitar o nome da política para filtrar a lista até ver o nome da política criada em [Step 2](#step-create-policy) até [Step 13](#step-end-policy). Você também pode filtrar todas as políticas gerenciadas da AWS selecionando **Policy Type** e **Customer Managed**.
1. Marque a caixa ao lado da política e selecione **Attach policies**.
------
Os usuários do IAM que são membros do grupo agora têm permissões para mudar para a nova função no AWS Organizations console usando o procedimento a seguir.
------
#### [ Console de gerenciamento da AWS ]
**Para alternar para a função para a conta-membro**
Ao usar a função, o usuário tem permissões de administrador na nova conta-membro. Instrua os usuários do IAM que são membros do grupo a fazer o seguinte para alternar para a nova função.
1. **No canto superior direito do AWS Organizations console, escolha o link que contém seu nome de login atual e escolha Trocar função.**
1. Insira o nome da função e o número do ID da conta fornecida pelo administrador.
1. Em **Display Name (Nome de exibição)**, insira o texto a ser exibido na barra de navegação no canto superior direito em vez do seu nome de usuário enquanto estiver usando a função. Você também pode escolher uma cor.
1. Selecione **Switch Role (Mudar de função)**. Agora, todas as ações que você executar serão feitas com as permissões concedidas à função para a qual você mudou. Você não tem mais as permissões associadas ao seu usuário original do IAM até você alternar de volta.
1. Ao concluir as ações que exigem as permissões da função, você poderá alternar de volta para seu usuário do IAM normal. Escolha o nome da função no canto superior direito (o que você especificou como **Nome de exibição**) e, em seguida, escolha **Voltar para**. *UserName*
------
# Fechando uma conta de membro em uma organização com AWS Organizations
Se não precisar mais de uma conta-membro em sua organização, é possível encerrá-la no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2) seguindo as instruções apresentadas neste tópico. Você só pode fechar uma conta de membro usando o AWS Organizations console se sua organização estiver no modo [Todos os recursos](orgs_getting-started_concepts.md#feature-set-all).
Você também pode fechar um Conta da AWS diretamente da [página **Conta**](https://console.aws.amazon.com/billing/home#/account) Console de gerenciamento da AWS após fazer login como usuário root. Para step-by-step obter instruções, consulte [Fechar um Conta da AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) no *Guia de gerenciamento de AWS contas*.
Para encerrar uma conta gerencial, consulte [Como encerrar uma conta-membro em sua organização](orgs_manage_accounts_close_management.md).
## Encerrar uma conta-membro
Quando você acessa a conta gerencial da organização, é possível encerrar contas-membro que fazem parte de sua organização. Para fazer isso, conclua as seguintes etapas:
**Importante**
Antes de encerrar sua conta-membro, é altamente recomendável que você analise as considerações e entenda o impacto do encerramento de uma conta. Para obter mais informações, consulte [O que você precisa saber antes de encerrar a conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) e [O que esperar depois de encerrar a conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure) no *Guia de gerenciamento de contas da AWS *.
------
#### [ AWS Management Console ]
**Para fechar uma conta de membro a partir do AWS Organizations console**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Na página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, localize e escolha o nome da conta de membro que deseja encerrar. É possível navegar na hierarquia da UO ou ver uma lista simples de contas sem a estrutura da UO.
1. Selecione **Close** (Encerrar) ao lado do nome da conta na parte superior da página. Essa opção só está disponível quando uma organização da AWS está no modo [Todos os atributos](orgs_getting-started_concepts.md#feature-set-all).
**nota**
Se sua organização estiver usando o modo [Faturamento consolidado](orgs_getting-started_concepts.md#feature-set-cb-only) o botão **Encerrar** não estará disponível no console. Para encerrar uma conta no modo de faturamento consolidado, entre na conta que você deseja encerrar como usuário-raiz. Na página **Contas**, clique o botão **Encerrar conta**, insira o ID da sua conta e clique o botão **Encerrar conta**.
1. Leia e certifique-se de que entendeu as orientações para o encerramento da conta.
1. Insira o ID da conta-membro e escolha **Encerrar conta**.
**nota**
Qualquer conta-membro que você encerrar exibirá uma etiqueta `CLOSED` ao lado do nome da conta no console do AWS Organizations por até 90 dias após a data de encerramento original. Após 90 dias, a conta do membro será encerrada permanentemente e não será mais exibida no AWS Organizations console. Observe que pode levar alguns dias para que a conta seja removida da organização após o encerramento permanente.
**Para encerrar uma conta-membro na página Contas**
Opcionalmente, você pode fechar uma conta de AWS membro diretamente da página **Contas** no Console de gerenciamento da AWS. Para step-by-step obter orientação, siga as instruções em [Fechar](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) e Conta da AWS no *Guia de gerenciamento de AWS contas*.
------
#### [ AWS CLI & AWS SDKs ]
**Para fechar um Conta da AWS**
Você pode usar um dos seguintes comandos para encerrar uma conta da AWS :
+ AWS CLI: [close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)
```
$ aws organizations close-account \
--account-id 123456789012
```
Esse comando não gera nenhuma saída quando é bem-sucedido.
+ AWS SDKs: [CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)
------
# Protegendo as contas dos membros contra o encerramento com AWS Organizations
Para proteger as contas de membros contra o encerramento acidental, crie uma política do IAM que especifique quais contas estão isentas. Essa política impede o encerramento de contas de membros protegidas.
Crie uma política do IAM para impedir o encerramento da conta usando um destes métodos:
+ Liste explicitamente as contas protegidas no `Resource` elemento da política usando suas. ARNs
+ Marque contas individuais e use a chave de condição `aws:ResourceTag` global para impedir o encerramento de contas marcadas.
**nota**
As políticas de controle de serviço (SCPs) não afetam os diretores do IAM na conta de gerenciamento.
## Exemplos de políticas do IAM que impedem fechamentos de contas-membro
Os exemplos de código a seguir mostram dois métodos diferentes que você pode usar para impedir que as contas-membro encerrem suas contas.
------
#### [ Prevent member accounts with tags from getting closed ]
É possível anexar a seguinte política a uma identidade na sua conta gerencial. Essa política impede que as entidades principais na conta gerencial encerrem qualquer conta-membro que esteja marcada com a chave de condição global da etiqueta `aws:ResourceTag`, a chave `AccountType` e o valor de chave `Critical`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccountForTaggedAccts",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
}
}
]
}
```
------
#### [ Prevent member accounts listed in this policy from getting closed ]
É possível anexar a seguinte política a uma identidade na sua conta gerencial. Essa política impede que entidades principais na conta gerencial encerrem contas-membro especificadas no elemento `Resource`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccount",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": [
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
]
}
]
}
```
------
# Removendo uma conta de membro de uma organização com AWS Organizations
A remoção de uma conta-membro não encerra a conta, mas remove a conta-membro da organização. A antiga conta de membro se torna autônoma e Conta da AWS não é mais gerenciada por AWS Organizations.
Em seguida, a conta não estará mais sujeita a nenhuma política e será responsável por seus próprios pagamentos de contas. A conta gerencial da organização não é mais cobrada por nenhuma despesa acumulada pela conta após sua remoção da organização.
## Considerações
**Os perfis de acesso do IAM criados pela conta gerencial não são excluídas automaticamente**
Quando você remove uma conta de membro da organização, qualquer perfil do IAM criado para permitir o acesso pela conta gerencial da organização não é excluído automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente o perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do IAM*.
**Você pode remover uma conta de sua organização somente se a conta tem as informações necessárias para operar como uma conta autônoma**
Você pode remover uma conta de sua organização somente se a conta tem as informações necessárias para operar como uma conta autônoma. Quando você cria uma conta em uma organização usando o AWS Organizations console, a API ou os AWS CLI comandos, todas as informações exigidas das contas independentes *não* são coletadas automaticamente.
Para cada conta que você deseja tornar independente, você deve escolher um plano de suporte, fornecer e verificar as informações de contato necessárias e fornecer uma forma de pagamento atual. AWS usa a forma de pagamento para cobrar por qualquer AWS atividade faturável (não de nível AWS gratuito) que ocorra enquanto a conta não está vinculada a uma organização. Para remover uma conta que ainda não tem essas informações, siga as etapas em [Saindo de uma organização a partir de uma conta de membro com AWS Organizations](orgs_manage_accounts_leave-as-member.md).
**Você deve aguardar pelo menos quatro dias após a criação da conta**
Para remover uma conta que você criou na organização, você deve aguardar pelo menos quatro dias após a criação da conta. As contas convidadas não estão sujeitas a esse período de espera.
**O proprietário da conta que sai se torna responsável por todos os novos custos acumulados**
No momento em que a conta deixa a organização com sucesso, o proprietário da Conta da AWS se torna responsável por todos os novos AWS custos acumulados e a forma de pagamento da conta é usada. A conta gerencial da organização não é mais responsável.
**A conta não pode ser uma conta de administrador delegado para nenhum AWS serviço habilitado para a organização**
A conta que você deseja remover não deve ser uma conta de administrador delegado para nenhum AWS serviço habilitado para sua organização. Se a conta for um administrador delegado, você deve primeiro alterar a conta de administrador delegado para outra conta que esteja permanecendo na organização. Para obter mais informações sobre como desabilitar ou alterar a conta de administrador delegado de um AWS serviço, consulte a documentação desse serviço.
**A conta não tem mais acesso aos dados de custo e uso**
Quando uma conta membro deixa uma organização, essa conta deixa de ter acesso aos dados de custo e uso no período quando a conta era membro da organização. No entanto, a conta gerencial da organização ainda pode acessar os dados. Se reentrar na organização, a conta poderá acessar novamente esses dados.
**As tags anexadas à conta são excluídas**
Quando uma conta-membro sai de uma organização, todas as tags anexadas à conta são excluídas.
**As entidades principais da conta não são mais afetadas por nenhuma política da organização**
As entidades primárias da conta não são mais afetadas pelas [políticas](orgs_manage_policies.md) que se aplicavam na organização. Isso significa que as restrições SCPs impostas por desapareceram e que os usuários e funções na conta podem ter mais permissões do que tinham antes. Outros tipos de política da organização não podem mais ser aplicados ou processados.
**A conta não está mais coberta pelos contratos da organização**
Se uma conta-membro for removida de uma organização, ela não será mais coberta pelos contratos da organização. Os administradores das contas gerenciais deverão informar às contas-membro antes de removê-las da organização, para que elas possam colocar novos contratos em vigor, se necessário. Uma lista de acordos organizacionais ativos pode ser visualizada no AWS Artifact console na página [Acordos AWS Artifact Organizacionais](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements).
**A integração com outros serviços pode ser desabilitado**
A integração com outros serviços pode ser desativada. Se você remover uma conta de uma organização que tenha a integração com um AWS serviço habilitada, os usuários dessa conta não poderão mais usar esse serviço.
## Para remover uma conta-membro de uma organização
Quando faz login na conta gerencial da organização, você pode remover contas-membro da organização que não são mais necessárias. Para fazer isso, conclua o seguinte procedimento. Este procedimento se aplica somente a contas-membro. Para remover a conta gerencial, é necessário [excluir a organização](orgs_manage_org_delete.md).
**Permissões mínimas**
Para remover uma ou mais contas-membro de sua organização, você deve fazer login como um usuário ou perfil na conta gerencial com as seguintes permissões:
`organizations:DescribeOrganization` – necessária somente ao usar o console do Organizations
`organizations:RemoveAccountFromOrganization`
Se você optar por fazer login como um usuário ou perfil em uma conta-membro na etapa 5, esse usuário ou perfil deverá ter as seguintes permissões:
`organizations:DescribeOrganization` – necessária somente ao usar o console do Organizations.
`organizations:LeaveOrganization` – observe que o administrador da organização pode aplicar uma política para a sua conta que remove essa permissão, impedindo que você remova sua conta da organização.
Se quando você fizer login como usuário do IAM estiverem faltando informações de pagamento na conta, será necessário que o usuário tenha as permissões `aws-portal:ModifyBilling` e `aws-portal:ModifyPaymentMethods` (caso a conta ainda não tenha migrado para permissões refinadas) OU as permissões `payments:CreatePaymentInstrument` e `payments:UpdatePaymentPreferences` (caso a conta já tenha migrado para permissões refinadas). Além disso, a conta-membro precisa ter acesso de usuário do IAM ao faturamento habilitado. Se ele ainda não estiver habilitado, consulte [Ativar o acesso ao console do Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) no *Guia do usuário do AWS Billing *.
------
#### [ Console de gerenciamento da AWS ]
**Para remover uma conta-membro da sua organização**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Na página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, encontre e escolha a caixa de seleção![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/checkbox-selected.png) próxima à conta-membro que você deseja remover de sua organização. Você pode navegar na hierarquia da OU ou ativar a opção **Exibir Contas da AWS somente** para ver uma lista simples de contas sem a estrutura da OU. Se você tiver muitas contas, talvez seja necessário escolher **Load more accounts in '*ou-name*' (Carregar mais contas em ‘nome-uo’)** no fim da lista para encontrar todas que você deseja mover.
Na página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, encontre e escolha o nome próximo à conta-membro que você deseja remover de sua organização. Talvez seja necessário expandir OUs (escolher a![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/console-expand.png)) para encontrar a conta que você deseja.
1. Selecione **Actions (Ações)**, então, em **Conta da AWS**, escolha **Remove from organization (Remover da organização)**.
1. Na seção **Remover conta “*nome da conta*” (\$1 *account-id-num*) da organização**? caixa de diálogo, escolha **Remover conta**.
1. Se AWS Organizations não conseguir remover uma ou mais contas, normalmente é porque você não forneceu todas as informações necessárias para que a conta funcione como uma conta independente. Siga estas etapas:
1. Faça login na conta com falha. Recomendamos fazer login na conta-membro escolhendo **Copy link (Copiar link)** e colando-o na barra de endereço de uma nova janela de navegação incógnito. Se você não ver o **link Copiar**, use [este link](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) para acessar a página **Inscrever-se na AWS** e concluir as etapas de registro que restam. Se você não usar uma janela incognito, será desconectado da conta gerencial e não poderá navegar de volta para essa caixa de diálogo.
1. O navegador leva você diretamente para o processo de cadastramento para concluir as etapas ausentes para essa conta. Conclua todas as etapas apresentadas. Isso pode incluir o seguinte:
+ Fornecer informações de contato
+ Fornecer um método de pagamento válido
+ Verificar o número de telefone
+ Selecionar uma opção de plano de suporte
1. Depois de concluir a última etapa de inscrição, redireciona AWS automaticamente seu navegador para o AWS Organizations console da conta do membro. Escolha **Leave organization** e, em seguida, confirme sua escolha na caixa de diálogo de confirmação. Você será redirecionado para a página **Getting Started (Conceitos básicos)** do console do AWS Organizations , onde você pode visualizar convites pendentes para a sua conta para ingressar em outras organizações.
1. Remova as funções do IAM que concedem acesso à sua conta a partir da organização.
**Importante**
Se a conta foi criada na organização, o Organizations criou automaticamente um perfil do IAM na conta que habilitou o acesso pela conta gerencial da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente esse perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do IAM*.
------
#### [ AWS CLI & AWS SDKs ]
**Para remover uma conta-membro da sua organização**
Você pode usar um dos seguintes comandos para remover uma conta-membro:
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)
```
$ aws organizations remove-account-from-organization \
--account-id 123456789012
```
Esse comando não gera nenhuma saída quando é bem-sucedido.
+ AWS SDKs: [RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)
Depois que a conta-membro for removida da organização, certifique-se de remover da organização as funções do IAM que concedem acesso à sua conta.
**Importante**
Se a conta foi criada na organização, o Organizations criou automaticamente um perfil do IAM na conta que habilitou o acesso pela conta gerencial da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente esse perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do IAM*.
Em vez disso, as contas-membro podem remover a si mesmas utilizando [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html). Para obter mais informações, consulte [Saindo de uma organização a partir de uma conta de membro com AWS Organizations](orgs_manage_accounts_leave-as-member.md).
------
# Saindo de uma organização a partir de uma conta de membro com AWS Organizations
Quando faz login em uma conta-membro, você pode sair de uma organização. A conta gerencial não pode deixar a organização usando essa técnica. Para remover a conta gerencial, é necessário [excluir a organização](orgs_manage_org_delete.md).
## Considerações
**O status de uma conta com uma organização afeta quais dados de custo e uso permanecem visíveis**
As contas mantêm acesso a todas as faturas anteriores entregues a elas e a todos os dados de faturas gerados por elas, independentemente das alterações na associação da organização. No entanto, a visibilidade dos dados do Cost Explorer está vinculada à associação atual da organização. A tabela abaixo mostra como três transições comuns de conta afetam a visibilidade dos dados:
****
| | Disponibilidade da fatura | Disponibilidade de faturas (por exemplo, página de faturas) | Disponibilidade do Cost Explorer |
| --- | --- | --- | --- |
| Cenário 1A conta do membro deixa a OrganizationA e se torna uma conta independente | A conta mantém acesso a todas as faturas históricas entregues a ela. | A conta mantém acesso a todos os dados históricos de faturas gerados como membro da OrganizationA. | A conta perde o acesso aos dados históricos de custo e uso gerados como membro da OrganizationA. |
| Cenário 2A conta do membro sai da OrganizaçãoA e se junta à OrganizaçãoB | A conta mantém acesso a todas as faturas históricas entregues a ela. | A conta mantém acesso a todos os dados históricos de faturas gerados como membro da OrganizationA. | A conta perde o acesso aos dados históricos de custo e uso gerados como membro da OrganizationA. |
| Cenário 3A conta reingressa em uma organização à qual pertencia anteriormente | A conta mantém acesso a todas as faturas históricas entregues a ela. | A conta mantém acesso a todos os dados históricos de faturas gerados (independentemente de serem gerados como uma conta independente ou como membro de outra organização). | A conta recupera o acesso aos dados de custo e uso durante todo o período em que foi membro da organização, mas perde o acesso a todos os custos e usos históricos gerados fora da organização atual. |
**A conta não está mais coberta pelos contratos da organização que foram aceitos em seu nome**
Se você sair de uma organização, não está mais coberto pelos contratos da organização que foram aceitos em seu nome pela conta gerencial da organização. Você pode ver uma lista desses acordos organizacionais no AWS Artifact console na página [Acordos AWS Artifact da Organização](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements). Antes de deixar a organização, você deve determinar (com a ajuda da equipe jurídica, de privacidade ou de conformidade, se adequado) se é necessário ter novos contratos em vigor.
**Os limites de cota da conta podem mudar e causar impacto**
Deixar uma organização como conta membro pode afetar os limites de cota de serviço disponíveis para essa conta. Se você tiver cargas de trabalho automatizadas que exigem limites mais altos, revise suas cotas no console de cotas de serviço depois de deixar a organização para garantir uma experiência ininterrupta. Entre em contato com o [AWS Support Centro](https://console.aws.amazon.com/support/home#/) depois de deixar a organização para obter assistência.
## Sair de uma organização como uma conta-membro
Para sair de uma organização, siga o procedimento a seguir.
**Permissões mínimas**
Para sair de uma organização você deve ter as seguintes permissões:
`organizations:DescribeOrganization` – necessária somente ao usar o console do Organizations.
`organizations:LeaveOrganization` – observe que o administrador da organização pode aplicar uma política para a sua conta que remove essa permissão, impedindo que você remova sua conta da organização.
Se quando você fizer login como usuário do IAM estiverem faltando informações de pagamento na conta, será necessário que o usuário tenha as permissões `aws-portal:ModifyBilling` e `aws-portal:ModifyPaymentMethods` (caso a conta ainda não tenha migrado para permissões refinadas) OU as permissões `payments:CreatePaymentInstrument` e `payments:UpdatePaymentPreferences` (caso a conta já tenha migrado para permissões refinadas). Além disso, a conta-membro precisa ter acesso de usuário do IAM ao faturamento habilitado. Se ele ainda não estiver habilitado, consulte [Ativar o acesso ao console do Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate) no *Guia do usuário do AWS Billing *.
------
#### [ Console de gerenciamento da AWS ]
**Para sair de uma organização com sua conta-membro**
1. Faça login no AWS Organizations console no [AWS Organizations console](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta-membro.
Por padrão, você não tem acesso à senha do usuário root em uma conta de membro que foi criada usando AWS Organizations. Se necessário, recupere a senha do usuário-raiz seguindo as etapas em **Usar o usuário-raiz (não recomendado para tarefas diárias)** em[Acessando contas de membros em uma organização com AWS Organizations](orgs_manage_accounts_access.md).
1. Na página **[Painel do Organizations](https://console.aws.amazon.com/organizations/v2/home/dashboard)**, escolha **Sair da organização**.
1. Na caixa de diálogo **Confirmar saída da organização?**, escolha **Sair da organização**. Quando solicitado, confirme sua escolha para remover a conta. Depois de confirmar, você será redirecionado para a página de **introdução** do AWS Organizations console, onde poderá ver todos os convites pendentes da sua conta para participar de outras organizações.
Se você receber uma mensagem **Ainda não é possível sair da organização**, sua conta não tem todas as informações necessárias para operar como uma conta independente. Se for esse o caso, prosseguir para a próxima etapa.
1. Se a caixa de diálogo **Confirmar a saída da organização?** exibir a mensagem **Ainda não é possível sair da organização**, escolha o link **Concluir as etapas de inscrição da conta**.
Se você não vir o link **Conclua as etapas de cadastro da conta**, use [este link](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True) para acessar a página **Inscrever-se na AWS** e concluir as etapas de registro restantes.
1. Na página **Inscrever-se na AWS**, insira todas as informações necessárias para que essa se torne uma conta independente. Isso pode incluir os seguintes tipos de informações:
+ Nome e endereço de contato
+ Método de pagamento válido
+ Verificação de número de telefone
+ Opções do plano de suporte
1. Quando for exibida a caixa de diálogo informando que o processo de cadastramento foi concluído, escolha **Leave organization**.
Uma caixa de diálogo de confirmação é exibida. Confirme sua escolha para remover a conta. Você será redirecionado para a página de **introdução** do AWS Organizations console, onde poderá ver todos os convites pendentes da sua conta para participar de outras organizações.
1. Remova as funções do IAM que concedem acesso à sua conta a partir da organização.
**Importante**
Se a conta foi criada na organização, o Organizations criou automaticamente um perfil do IAM na conta que habilitou o acesso pela conta gerencial da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente esse perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do IAM*.
------
#### [ AWS CLI & AWS SDKs ]
**Para sair de uma organização como uma conta-membro**
Você pode usar um dos seguintes comandos para sair de uma organização:
+ AWS CLI:[leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)
O exemplo a seguir faz com que a conta cujas credenciais são usadas para executar o comando saia da organização.
```
$ aws organizations leave-organization
```
Esse comando não gera nenhuma saída quando é bem-sucedido.
+ AWS SDKs: [LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)
Depois que a conta-membro sair da organização, certifique-se de remover da organização as funções do IAM que concedem acesso à sua conta.
**Importante**
Se a conta foi criada na organização, o Organizations criou automaticamente um perfil do IAM na conta que habilitou o acesso pela conta gerencial da organização. Se a conta foi convidada para participar, então o Organizations não criou automaticamente essa função, mas você ou outro administrador pode ter criado uma para obter os mesmos benefícios. Em ambos os casos, quando você remove a conta da organização, essa função não é excluída automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente esse perfil do IAM. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do IAM*.
As contas dos membros também podem ser removidas por um usuário na conta de gerenciamento [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)com. Para obter mais informações, consulte [Para remover uma conta-membro de uma organização](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account).
------
# Atualizando o nome da conta de uma conta de membro com AWS Organizations
Ao iniciar sessão na conta gerencial da sua organização, você pode atualizar o nome da conta de membro. Para saber como atualizar o nome da conta de um membro, siga as etapas em [Atualizar o nome da conta de qualquer Conta da AWS membro da sua organização](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs) no *Guia de AWS Gerenciamento de contas referência*.
# Atualizando o endereço de e-mail do usuário raiz (endereço de ) para uma conta de membro com AWS Organizations
Para aumentar a segurança e a resiliência administrativa, as entidades principais do IAM na conta gerencial (que têm as permissões necessárias do IAM) podem atualizar centralmente um endereço de e-mail do usuário-raiz (também chamado de endereço de e-mail principal) para qualquer uma de suas contas de membro sem precisar fazer login em cada conta individualmente. Isso dá aos administradores na conta gerencial (ou em uma conta de administrador delegado) mais controle sobre suas contas-membro. Também garante que os endereços de e-mail do usuário raiz Os endereços de de qualquer conta membro em toda a sua conta AWS Organizations possam ser mantidos atualizados, mesmo quando você pode ter perdido o acesso ao endereço de e-mail do usuário raiz original ou às credenciais administrativas .
Quando o endereço de e-mail do usuário-raiz é alterado centralmente por um administrador da conta gerencial, tanto a senha como a configuração da MFA permanecerão as mesmas de antes da alteração. Observe que o MFA pode ser ignorado por um usuário com controle do endereço de e-mail do usuário-raiz e do número de telefone do contato principal da conta.
Para atualizar o endereço de e-mail do usuário raiz (endereço de ) de uma conta membro em sua organização, sua organização deve ter habilitado anteriormente o modo de [todos os recursos](orgs_getting-started_concepts.md#feature-set-all). AWS Organizations no modo de cobrança consolidada ou contas que não fazem parte de uma organização, não podem atualizar o endereço de e-mail do usuário raiz (endereço de e-mail . Os usuários que quiserem alterar o endereço de e-mail do usuário-raiz para contas que não são compatíveis com a API devem continuar usando o Console de faturamento para gerenciar o endereço de e-mail do usuário-raiz.
Para step-by-step obter instruções sobre como atualizar o endereço de e-mail do usuário raiz da sua conta membro (endereço de ), consulte [Atualizar o e-mail do usuário raiz para qualquer Conta da AWS pessoa da sua organização](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs) no *Guia de AWS Gerenciamento de contas referência*.
# Gerenciando convites de conta com AWS Organizations
Depois de [criar uma organização](orgs_manage_org_create.md) e [verificar se você possui o endereço de e-mail](about-email-verification.md) associado à conta de gerenciamento, você pode convidar os existentes Contas da AWS para participar da sua organização. Use o AWS Organizations console para iniciar e gerenciar os convites que você envia para outras contas. Só é possível enviar um convite para outras contas pela conta gerencial de sua organização.
Quando você convida uma conta, AWS Organizations envia um convite para o proprietário da conta, que pode decidir aceitar ou recusar o convite.
Se você for administrador de um Conta da AWS, também poderá aceitar ou recusar um convite de uma organização. Se você aceitar, sua conta passará a ser membro da tal organização.
Para criar uma conta que faça parte de uma organização automaticamente, consulte [Criação de uma conta de membro em uma organização com AWS Organizations](orgs_manage_accounts_create.md).
**Importante**
Todas as contas em uma organização devem vir da mesma AWS partição da conta de gerenciamento. As contas na Regiões da AWS partição comercial não podem estar em uma organização com contas da partição de Regiões da China ou contas na partição de AWS GovCloud (US) Regiões.
**Topics**
+ [Considerações](#impact_of_join)
+ [Como enviar convites](orgs_manage_accounts_invite-account.md)
+ [Como gerenciar convites pendentes](orgs_manage_accounts_manage-invites.md)
+ [Como aceitar ou recusar convites](orgs_manage_accounts_accept-decline-invite.md)
## Considerações
**Limitações no número de convites que você pode enviar por dia**
Para saber as limitações no número de convites que você pode enviar por dia, consulte [Valores máximo e mínimo](orgs_reference_limits.md#min-max-values). Os convites aceitos não são considerados nessa cota. Assim que um convite é aceito, você pode enviar outro convite no mesmo dia. Cada convite precisa ser respondido dentro de 15 dias, senão ele expira.
Um convite que é enviado a uma conta figura na cota de contas da sua organização. A contagem será restaurada se a conta convidada recusar, a conta gerencial cancelar o convite ou o convite expirar.
**Uma conta só pode se juntar a uma organização**
Uma conta só pode se juntar a uma organização. Se receber vários convites, você só poderá aceitar um.
**O histórico de faturamento e os relatórios permanecem com a conta gerencial**
O histórico de faturamento e os relatórios de todas as contas permanecem com a conta gerencial em uma organização. Antes de mover a conta para uma nova organização, exporte ou faça o backup de todos os históricos de faturamento e relatório relativos a todas as contas-membro que você queira manter. Isso pode incluir [Relatórios de uso e de custo](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html), [Relatórios do Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html), [Relatórios dos Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr) e a [Utilização e cobertura da Instância reservada (IR)](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer).
**A conta gerencial é responsável por todas as despesas acumuladas pelas contas-membro**
Depois que uma conta aceita o convite para ingressar em uma organização, a conta gerencial da organização torna-se responsável por todas as cobranças geradas pela nova conta-membro. O método de pagamento anexado à conta-membro deixa de ser usado. Em vez disso, o método de pagamento anexado à conta gerencial da organização paga por todos os encargos acumulados pela conta-membro.
**O Organizations cria automaticamente o perfil vinculado ao serviço `AWSServiceRoleForOrganizations`**
AWS Organizations cria uma função vinculada a serviços chamada `AWSServiceRoleForOrganizations` para oferecer suporte a integrações entre AWS Organizations e outros serviços. AWS Para obter mais informações, consulte [AWS Organizations e funções vinculadas ao serviço](orgs_integrate_services.md#orgs_integrate_services-using_slrs). A conta convidada deverá ter esse perfil se a organização for compatível [com todos os recursos](orgs_getting-started_concepts.md#feature-set-all). É possível excluir esse perfil se a organização oferecer suporte apenas ao conjunto de recursos de [faturamento consolidado](orgs_getting-started_concepts.md#feature-set-cb-only). Se você excluir essa função e depois ativar todos os recursos em sua organização, AWS Organizations recriará essa função para a conta.
O **Organizations não cria automaticamente o perfil do IAM `OrganizationAccountAccessRole`**
Para contas de membros convidados, AWS Organizations não cria automaticamente a função do IAM [`OrganizationAccountAccessRole`](orgs_manage_accounts_access-cross-account-role.md). Essa função concede aos usuários na conta gerencial acesso administrativo à conta-membro. Se quiser habilitar esse nível de controle administrativo sobre uma conta convidada, você pode adicionar manualmente a função. Para obter mais informações, consulte [Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
**nota**
Quando você cria uma conta na sua organização em vez de convidar uma conta existente para participar, cria AWS Organizations automaticamente a função do IAM `OrganizationAccountAccessRole` por padrão.
**As políticas vinculadas à raiz ou à OU que contêm a conta são aplicadas imediatamente**
Se você tiver alguma política vinculada à raiz ou à unidade organizacional (OU) que contenha a conta convidada, essas políticas serão aplicadas imediatamente a todos os usuários e perfis na conta convidada.
Você pode [habilitar a confiança de serviço para outro AWS serviço](orgs_integrate_services_list.md) da sua organização. Desse modo, esse serviço confiável poderá criar funções vinculadas ao serviço ou executar ações em qualquer conta-membro na organização, incluindo em uma conta convidada.
**Organizações com apenas o conjunto de recursos de faturamento consolidado ainda podem convidar contas**
Você pode convidar uma conta para afiliar-se a uma organização que tenha apenas recursos de faturamento consolidado habilitados. Se você quiser habilitar posteriormente todos os recursos para a organização, as contas convidadas devem aprovar a alteração.
# Enviando convites para contas com AWS Organizations
Para convidar contas para a sua organização, primeiro é preciso confirmar que é o proprietário do endereço de e-mail associado à conta gerencial. Para obter mais informações, consulte [Verificação de endereço de e-mail com AWS Organizations](about-email-verification.md). Depois que você tiver verificado o seu endereço de e-mail, conclua as etapas a seguir para convidar contas para a sua organização.
**Permissões mínimas**
Para convidar um Conta da AWS para participar da sua organização, você deve ter as seguintes permissões:
`organizations:DescribeOrganization` (somente console)
`organizations:InviteAccountToOrganization`
------
#### [ Console de gerenciamento da AWS ]
**Para convidar outra conta a ingressar na sua organização**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta de gerenciamento da organização.
1. Se você já verificou seu endereço de e-mail com AWS, pule esta etapa.
Se o seu endereço de e-mail ainda não tiver sido confirmado, siga as instruções no [e-mail de verificação](about-email-verification.md) em até 24 horas após criar a organização.. Talvez haja um atraso até você receber o e-mail de verificação. Você não poderá convidar uma conta para ingressar na sua organização até verificar o seu endereço de e-mail.
1. Acesse a página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** e escolha **Adicionar uma conta da AWS **.
1. Na página **[Adicionar uma Conta da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**, escolha **Convidar uma conta da AWS existente**.
1. Na AWS página **[Convidar um existente](https://console.aws.amazon.com/organizations/v2/home/accounts/add/invite)**, em **Endereço de e-mail ou ID da conta do Conta da AWS a** ser convidado, insira o endereço de e-mail associado à conta a ser convidada ou o número de ID da conta.
1. (Opcional) Em **Message to include in the invitation email message (Mensagem a ser incluída na mensagem de e-mail do convite)**, insira qualquer texto que você queira incluir no convite por e-mail para o proprietário da conta convidada.
1. (Opcional) Na seção **Add tags (Adicionar tags)**, especifique uma ou mais tags que são aplicadas automaticamente à conta depois que seu administrador aceita o convite. Para fazer isso, escolha **Add tag (Adicionar tag)** e, em seguida, insira uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma Conta da AWS.
1. Selecione **Enviar convite**.
**Importante**
Se você receber uma mensagem de que excedeu as cotas da sua conta da organização ou que não pode adicionar uma conta porque a organização ainda está em inicialização, entre em contato com o [AWS Support](https://console.aws.amazon.com/support/home#/).
1. O console redireciona você para a página **[Invitations (Convites)](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**, onde você pode ver todos os convites abertos e aceitos aqui. O convite que você acabou de criar aparecerá no topo da lista com o status definido como **OPEN (ABERTO)**.
AWS Organizations envia um convite para o endereço de e-mail do proprietário da conta que você convidou para a organização. Essa mensagem de e-mail inclui um link para o AWS Organizations console, onde o responsável pela conta pode ver os detalhes e optar por aceitar ou recusar o convite. Como alternativa, o proprietário da conta convidada pode ignorar a mensagem de e-mail, acessar diretamente o AWS Organizations console, ver o convite e aceitá-lo ou recusá-lo.
O convite para essa conta é imediatamente considerado na contagem do número máximo de contas que você pode ter em sua organização; o AWS Organizations não aguarda até que a conta aceite o convite. Se a conta convidada negar, a conta gerencial cancelará o convite. Se a conta convidada não responder dentro do período especificado, o convite vai expirar. Em ambos os casos, o convite deixa de ser considerado em sua cota.
------
#### [ AWS CLI & AWS SDKs ]
**Para convidar outra conta a ingressar na sua organização**
Você pode usar um dos seguintes comandos para convidar outra conta a ingressar em sua organização:
+ AWS CLI: [invite-account-to-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/invite-account-to-organization.html)
```
$ aws organizations invite-account-to-organization \
--target '{"Type": "EMAIL", "Id": "juan@example.com"}' \
--notes "This is a request for Juan's account to join Bill's organization."
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "OPEN"
}
}
```
+ AWS SDKs: [InviteAccountToOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_InviteAccountToOrganization.html)
------
# Gerenciando convites de contas pendentes com AWS Organizations
Quando faz login na sua conta gerencial, você pode visualizar todas as Contas da AWS vinculadas em sua organização e cancelar convites pendentes (abertos). Para fazer isso, conclua as seguintes etapas:
**Permissões mínimas**
Para gerenciar convites pendentes para a sua organização, você precisa ter as seguintes permissões:
`organizations:DescribeOrganization` – necessária somente ao usar o console do Organizations
`organizations:ListHandshakesForOrganization`
`organizations:CancelHandshake`
------
#### [ Console de gerenciamento da AWS ]
**Para visualizar ou cancelar convites que são enviados de sua organização para outras contas**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Navegue até a página **[Invitations (Convites)](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**.
Esta página mostra todos os convites que são enviados de sua organização e seu status atual.
Se você não conseguir ver um convite, verifique se a conta convidada é a conta gerencial de outra organização. Somente contas de membros e contas independentes podem receber convites. As contas gerenciais não podem receber convites.
Se você quiser convidar uma conta que seja uma conta gerencial em outra organização, é recomendável tornar essa conta uma conta independente.
**nota**
Convites aceitos, cancelados e recusados continuam aparecendo na lista por 30 dias. Depois disso, elas serão excluídas e não aparecerão mais na lista.
1. Escolha o botão de opção ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/radio-button-selected.png) ao lado do convite que você deseja cancelar e selecione **Cancel invitation (Cancelar convite)**. Se o botão de opção estiver acinzentado, esse convite não pode ser cancelado.
O status do convite muda de **OPEN (Aberto)** para **CANCELED (Cancelado)**.
AWS envia uma mensagem de e-mail para o proprietário da conta informando que você cancelou o convite. A conta não pode mais participar da organização, a menos que você envie um novo convite.
------
#### [ AWS CLI & AWS SDKs ]
**Para visualizar ou cancelar convites que são enviados de sua organização para outras contas**
Você pode usar os seguintes comandos para visualizar ou cancelar convites:
+ AWS CLI: [list-handshakes-for-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-organization.html), [cancele](https://docs.aws.amazon.com/cli/latest/reference/organizations/cancel-handshake.html) o aperto de mão
+ O exemplo a seguir mostra os convites enviados por esta organização para outras contas.
```
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Juan's account to join Bill's organization."
}
],
"State": "OPEN"
},
{
"Action": "INVITE",
"State":"ACCEPTED",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1.471797437427E9,
"Id": "h-examplehandshakeid222",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "anika@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1.469205437427E9,
"Resources": [
{
"Resources": [
{
"Type":"MASTER_EMAIL",
"Value":"bill@example.com"
},
{
"Type":"MASTER_NAME",
"Value":"Management Account"
}
],
"Type":"ORGANIZATION",
"Value":"o-exampleorgid"
},
{
"Type":"EMAIL",
"Value":"anika@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Anika's account to join Bill's organization."
}
]
}
]
}
```
O exemplo a seguir mostra como cancelar um convite a uma conta.
```
$ aws organizations cancel-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Id": "h-examplehandshakeid111",
"State":"CANCELED",
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "susan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Type": "ORGANIZATION",
"Value": "o-exampleorgid",
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@example.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "CONSOLIDATED_BILLING"
}
]
},
{
"Type": "EMAIL",
"Value": "anika@example.com"
},
{
"Type": "NOTES",
"Value": "This is a request for Susan's account to join Bob's organization."
}
],
"RequestedTimestamp": 1.47008383521E9,
"ExpirationTimestamp": 1.47137983521E9
}
}
```
+ AWS SDKs: [ListHandshakesForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListHandshakesForOrganization.html), [CancelHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CancelHandshake.html)
------
# Aceitando ou recusando convites para contas com AWS Organizations
Se você receber um convite para participar de uma organização, pode aceitar ou recusá-lo.
## Considerações
**O status de uma conta com uma organização afeta quais dados de custo e uso permanecem visíveis**
Se uma conta-membro sair de uma organização e se tornar uma conta autônoma, a conta deixará de ter acesso aos dados de custo e uso no período em que a conta era membro da organização. A conta tem acesso apenas aos dados gerados como uma conta autônoma.
Se uma conta-membro deixar a organização A para entrar na organização B, a conta deixará de ter acesso aos dados de custo e uso do período quando a conta era um membro da organização A. A conta terá acesso apenas aos dados gerados como membro da organização B.
Se uma conta for associada novamente a uma organização à qual pertencia anteriormente, a conta voltará a ter acesso aos dados de custos e uso históricos.
**Somente contas-membro e contas independentes podem aceitar ou recusar um convite**
Somente contas-membros e contas independentes podem aceitar ou recusar um convite para participar de uma organização. Se um convite for enviado para uma conta gerencial que já faz parte de uma organização, essa conta não poderá visualizá-lo até [remover todas as contas de membros da organização](orgs_manage_accounts_remove.md) e [excluir a organização](orgs_manage_org_delete.md).
**CloudTrail o registro ocorre na conta que executa a ação**
Se uma conta de membro ou conta autônoma aceitar ou recusar um convite de conta, essa ação será registrada no CloudTrail registro da conta ativa. Se a conta ativa for uma conta de membro, essa ação não será registrada nos CloudTrail registros da conta de gerenciamento. Isso é consistente com o CloudTrail login em cenários relacionados (ex. A conta do membro que sair da organização será conectada na trilha da conta do membro, a conta de gerenciamento (a remoção da conta do membro será conectada à trilha da conta de gerenciamento).
## Aceitar ou recusar um convite de conta
Para aceitar ou recusar o convite, conclua as etapas a seguir.
**Permissões mínimas**
Para aceitar ou recusar um convite para participar de uma organização da , você precisa ter as seguintes permissões:
`organizations:ListHandshakesForAccount`— Necessário para ver a lista de convites no AWS Organizations console.
`organizations:AcceptHandshake`.
`organizations:DeclineHandshake`.
`organizations:LeaveOrganization`— Obrigatório somente ao aceitar um convite quando sua conta já é membro de uma organização.
`iam:CreateServiceLinkedRole`: necessária apenas quando a aceitação do convite requer a criação de uma função vinculada ao serviço para dar suporte à integração com outros Serviços da AWS. Para obter mais informações, consulte [AWS Organizations e funções vinculadas ao serviço](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
------
#### [ Console de gerenciamento da AWS ]
**Para aceitar ou recusar um convite**
1. Um convite para participar de uma organização é enviado para o endereço de e-mail do proprietário da conta. Se você for proprietário de uma conta e receber um e-mail de convite, siga as instruções no convite ou acesse o [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2) no seu navegador e escolha **Convites**, ou vá direto para a página **[Convite de conta de membro](https://console.aws.amazon.com/organizations/v2/home/invitations)**.
1. Se solicitado, faça login na conta de convidado como um usuário IAM, assuma uma função do IAM ou faça login como usuário raiz da conta ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).
1. A página **[member account's Invitation (Convite de conta-membro)](https://console.aws.amazon.com/organizations/v2/home/invitations)** exibe os convites abertos da sua conta para ingressar em organizações.
Escolha **Accept invitation (Aceitar convite)** ou **Decline invitation (Recusar convite)**, conforme apropriado.
+ Se escolher **Accept invitation (Aceitar convite)** na etapa anterior, o console redirecionará você para a página [Organization overview ( Visão geral da organização,)](https://console.aws.amazon.com/organizations/v2/home/dashboard) com detalhes sobre a organização da qual sua conta agora é um membro. Você pode visualizar o ID da organização e o endereço de e-mail do proprietário.
**nota**
Convites aceitos continuam aparecendo na lista por 30 dias. Depois disso, eles serão excluídos e não aparecerão mais na lista.
AWS Organizations cria automaticamente uma função vinculada ao serviço na nova conta de membro para apoiar a integração entre outras AWS Organizations . Serviços da AWS Para obter mais informações, consulte [AWS Organizations e funções vinculadas ao serviço](orgs_integrate_services.md#orgs_integrate_services-using_slrs).
AWS envia uma mensagem de e-mail para o proprietário da conta de gerenciamento da organização informando que você aceitou o convite. Ela também envia um e-mail para o proprietário da conta-membro informando que a conta agora é um membro da organização.
+ Se você escolher **Decline (Recusar)** na etapa anterior, sua conta permanecerá na página **[member account's Invitation (Convite de conta-membro)](https://console.aws.amazon.com/organizations/v2/home/invitations)**, que lista todos os outros convites pendentes.
AWS envia uma mensagem de e-mail para o proprietário da conta de gerenciamento da organização informando que você recusou o convite.
**nota**
Convites recusados continuam aparecendo na lista por 30 dias. Depois disso, eles serão excluídos e não aparecerão mais na lista.
------
#### [ AWS CLI & AWS SDKs ]
**Para aceitar ou recusar um convite**
Você pode usar os seguintes comandos para aceitar ou recusar um convite:
+ AWS CLI: [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html), [decline-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/decline-handshake.html)
O exemplo a seguir mostra como aceitar um convite para participar de uma organização.
```
$ aws organizations accept-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"RequestedTimestamp": 1481656459.257,
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "ALL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "ACCEPTED"
}
}
```
O exemplo a seguir mostra como recusar um convite para participar de uma organização.
+ AWS SDKs: [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html), [DeclineHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeclineHandshake.html)
------
# Migre uma conta para outra organização com AWS Organizations
Você pode migrar e Conta da AWS de uma organização para outra a qualquer momento. Por exemplo, migrar uma conta pode ser útil no caso de uma fusão e aquisição, quando você precisa consolidar uma ou mais Contas da AWS de várias organizações em uma organização.
Seja qual for o seu caso de uso, migrar uma conta entre organizações exige que você envie um convite da conta de gerenciamento da nova organização e use a conta convidada para aceitar o convite para ingressar na nova organização.
**nota**
**Contas fechadas ou suspensas não podem ser migradas.**
Contas encerradas ou suspensas não podem ser migradas. Para reativar uma conta, entre em contato com o [Suporte](https://aws.amazon.com/contact-us/).
**Requisito de espera de quatro dias**
Para migrar uma conta que você criou na organização, deve aguardar pelo menos quatro dias após a criação da conta. As contas convidadas não estão sujeitas a esse período de espera.
**Replicação de dados entre contas**
A seguinte orientação AWS prescritiva fornece informações sobre estratégias para replicar dados entre Contas da AWS: [Replicação de recursos](https://docs.aws.amazon.com/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/resource-migration.html) ou migração entre. Contas da AWS
## O que você precisa fazer antes de migrar uma conta
Antes de migrar seu Conta da AWS de uma organização para outra, verifique se você concluiu as etapas a seguir.
### Etapa 1: verificar se você tem as permissões necessárias do IAM para migrar uma conta
#### Etapa 1
Verifique se você aplicou as permissões necessárias para migrar uma conta para as respectivas organizações.
**Para sair de uma organização, você deve ter as seguintes permissões:**
+ `organizations:DescribeOrganization` (somente console)
+ `organizations:LeaveOrganization`
Para obter mais informações, consulte [Sair de uma organização com sua conta-membro](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_leave-as-member.html).
**Para convidar um Conta da AWS para participar de uma organização, você deve ter as seguintes permissões:**
+ `organizations:DescribeOrganization` (somente console)
+ `organizations:InviteAccountToOrganization`
Para obter mais informações, consulte [Convidar um homem Conta da AWS para se juntar à sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
**Para migrar uma conta, você não pode ter políticas de IAM ou políticas de controle de serviços que impeçam a migração**
Se você for a conta de gerenciamento ou um administrador delegado, poderá controlar o acesso aos AWS recursos anexando políticas de permissões às identidades do IAM (usuários, grupos e funções) dentro de uma organização. Para obter mais informações, consulte as [Políticas do IAM para o AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_iam-policies.html).
Antes de migrar uma conta:
+ Verifique se não há políticas do IAM ou políticas de controle de serviço (SCPs) que impeçam você de migrar a conta.
+ Identifique as políticas do IAM e as políticas de controle de serviços (SCPs) existentes que você precisa replicar na organização para a qual está migrando a conta.
+ Identifique as políticas do IAM existentes que especificam o ID da sua organização. Por exemplo, .[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid)
Para obter mais informações, consulte [Gerenciamento de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) no *Guia do usuário do IAM* e nas [políticas de controle de serviços (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).
### Etapa 2: verificar se você removeu as permissões do IAM que permitem o acesso à conta gerencial antiga
#### Etapa 2
Verifique se você removeu as permissões do IAM que permitem o acesso à conta gerencial antiga, como a `OrganizationAccountAccessRole`.
Quando você remove uma conta-membro da organização, nenhum perfil do IAM criado para permitir o acesso pela conta gerencial da organização é excluído automaticamente. Se você deseja terminar esse acesso a partir da conta gerencial da antiga organização, exclua manualmente o perfil do IAM.
Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do IAM*.
### Etapa 3: fazer backup de todos os relatórios
#### Etapa 3
Não se esqueça de exportar ou fazer backup dos relatórios da conta gerencial, especialmente dos relatórios de faturamento. Relatórios e históricos de nível organizacional não são armazenados quando você migra uma conta. Recomenda-se que você faça uma exportação completa de todo o histórico de faturamento. Você ainda pode acessar os relatórios da conta de membro, como histórico de eventos do AWS CloudTrail e histórico de faturamento da conta.
**Importante**
Todos os relatórios e históricos de nível organizacional, como informações de faturamento organizacional na conta gerencial, serão excluídos depois que uma conta for removida de uma organização.
Para obter mais informações, consulte os [Relatórios de uso e de custo](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html), os [Relatórios do Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html), os [Relatórios dos Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr) e a [Utilização e cobertura da Instância reservada (IR)](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer).
### Etapa 4: verificar as dependências da organização
#### Etapa 4
Confirme se a conta a ser migrada não tem dependências relacionadas à organização.
**Dependências a serem verificadas:**
+ Se a conta for um administrador delegado, será necessário cancelar o registro das permissões do administrador delegado antes de migrar a conta. Para obter mais informações, consulte [Serviços com os quais você pode usar AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
+ Se a conta for a conta gerencial, será necessário remover todas as contas-membro da organização e excluir a organização antes de migrar. Depois de excluir a organização, sua conta gerencial funcionará como uma conta independente. Após a migração, a conta gerencial será uma conta-membro da nova organização. Para obter mais informações, consulte [Excluir uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html).
+ Se quaisquer permissões do IAM dependerem da conta, será necessário ajustar as permissões da organização antiga depois de migrar a conta para a nova organização, para que a organização antiga funcione como antes. Para obter mais informações, consulte [Gerenciar permissões de acesso para a organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html).
+ Se você estiver usando qualquer tag de conta ou unidade organizacional (OU), precisará recriar as tags na nova organização.
### (Opcional) Etapa 5: revise a orientação se você usar AWS Control Tower
#### (Opcional) Etapa 5
Se você estiver migrando uma conta de ou para uma organização gerenciada por AWS Control Tower, consulte a seguinte orientação AWS prescritiva: [Migrar uma conta de AWS membro](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html) de para. AWS Organizations AWS Control Tower
## O que você precisa fazer para migrar uma conta
O processo de migração exige que a nova organização envie um convite para a conta migrante e que a conta migrante aceite o convite da nova organização para ingressar na nova organização.
**Para migrar uma conta**
1. Envie um convite da conta gerencial da nova organização para a conta a ser migrada. Para obter informações sobre como convidar contas, consulte [Convidar um homem Conta da AWS para se juntar à sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
1. Aceite o convite para se juntar à nova organização. Para obter mais informações, consulte [Accepting an invitation from an organization](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite). As contas migradas de uma outra organização para outra serão automaticamente adicionadas à raiz da nova organização. Antes de mover uma conta para uma unidade organizacional (OU) na nova organização, é recomendável verificar se a conta a ser migrada tem as políticas organizacionais e as permissões de OU apropriadas.
1. Se quiser migrar a conta gerencial, deverá [remover todas as contas-membro](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) da organização e [excluir a organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html) antes de migrar a conta gerencial para a nova organização. Depois de excluir a organização antiga, sua conta gerencial operará como uma conta independente e poderá aceitar o convite da nova organização para ingressar na nova organização. Se você aceitar um convite, sua conta gerencial se tornará uma conta-membro da organização.
## O que você precisa fazer depois de migrar uma conta
Depois de migrar sua conta de uma organização para outra, confirme se as etapas a seguir foram concluídas.
**Revisão pós-migração**
1. Avalie todas as [configurações da ferramenta de cobrança](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-laying-the-foundation/reporting-cost-optimization-tools.html) da conta migrada, como categorias de custo, orçamentos e alarmes de cobrança.
1. Revise e atualize as seguintes informações monetárias de todas as contas que você migrou de uma organização para outra:
1. Se necessário, [atualize as configurações fiscais](https://repost.aws/knowledge-center/update-tax-registration-number) na conta.
1. Confirme se o [plano do Suporte](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidatedbilling-support.html) de migração da conta corresponda à conta do pagador da nova organização.
1. Analise todas as possíveis [isenções fiscais](https://aws.amazon.com/tax-help/united-states/) que você queira aplicar à conta que você migrou.
1. Valide e confirme as políticas existentes do IAM e as políticas de controle de serviços (SCPs) para a conta migrada. Por exemplo, talvez seja necessário atualizar o ID da organização para que algumas políticas do IAM reflitam a nova organização.
1. Atualize as [tags de alocação de custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) para a nova organização para a qual você migrou a conta. Você precisará atualizar todas as tags de alocação de custos anteriores coletadas pela conta que você migrou.
1. Todas as [Instâncias reservadas](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-behavior.html) e [Saving Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html) migrarão junto com a conta. Elas não são mantidas na organização antiga. Entre em contato Suporte se eles precisarem ser transferidos para a organização antiga.
# Exibir detalhes de uma conta em AWS Organizations
Ao fazer login na conta gerencial da organização no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2), você pode visualizar os detalhes sobre suas contas de membro.
**Permissões mínimas**
Para ver os detalhes de um Conta da AWS, você deve ter as seguintes permissões:
`organizations:DescribeAccount`
`organizations:DescribeOrganization` – necessária somente ao usar o console do Organizations
`organizations:ListAccounts` – necessária somente ao usar o console do Organizations
------
#### [ Console de gerenciamento da AWS ]
**Para ver detalhes de um Conta da AWS**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Navegue até a página **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)** e escolha o nome do nome da conta (não o botão de opção) que você deseja examinar. Se a conta desejada for subordinada a uma UO, você poderá ter de escolher o ícone de triângulo ![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/console-expand.png)ao lado de uma UO para expandi-la e ver suas subordinadas. Repita até encontrar a conta.
A caixa **Account details (Detalhes da conta)** mostra as informações sobre a conta.
------
#### [ AWS CLI & AWS SDKs ]
**Para ver detalhes de um Conta da AWS**
Você pode usar os seguintes comandos para visualizar detalhes de uma conta:
+ AWS CLI:
+ [list-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html) – lista os detalhes de *todas* as contas da organização
+ [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html) – lista os detalhes apenas da conta especificada
Ambos os comandos retornam os mesmos detalhes para cada conta incluída na resposta.
O exemplo a seguir mostra como recuperar os detalhes sobre uma conta especificada.
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ AWS SDKs:
+ [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
+ [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# Exportar detalhes de todas as contas em AWS Organizations
Com AWS Organizations, os usuários da conta de gerenciamento e os administradores delegados de uma organização podem exportar um arquivo.csv com todos os detalhes da conta dentro de uma organização. Fazendo isso, fica fácil para os administradores da organização visualizar contas e filtrar por estado: `PENDING_ACTIVATION`, `ACTIVE`, `SUSPENDED`, `PENDING_CLOSURE` ou `CLOSED`. Se sua organização tiver muitas contas, a opção de download de arquivo .csv facilitará a visualização e a classificação dos detalhes de conta em uma planilha. Recomendamos gerar novas exportações de CSV em vez de usar versões salvas anteriormente para manter as informações da conta atual.
**Importante**
Removemos o `Status` parâmetro da conta no `Accounts` objeto do AWS Organizations console em 9 de setembro de 2025. O arquivo de exportação da conta agora exibirá o parâmetro `State` em vez do parâmetro `Status`. Qualquer processo posterior usando o arquivo exportado `Organization_accounts_information.csv` deve ser atualizado para usar o parâmetro `State` em vez de `Status`.
**nota**
Somente as entidades principais na conta gerencial podem baixar a lista de contas.
## Exporte uma lista de tudo Contas da AWS em sua organização
Ao fazer login na conta gerencial da organização, você pode obter uma lista de todas contas que fazem parte da sua organização em um arquivo .csv. A lista contém detalhes individuais da conta, mas não especifica a qual unidade organizacional (UO) a conta pertence.
O arquivo .csv contém as seguintes informações para cada conta:
+ **ID da conta** - identificador numérico da conta. Por exemplo: 123456789012
+ **ARN** - nome de recurso da Amazon da conta. Por exemplo: `arn:aws:organizations::123456789012account/o-o1gb0d1234/123456789012`.
+ **E-mail** - o endereço de e-mail associado à conta. Por exemplo: marymajor@example.com
+ **Nome** - nome da conta fornecido pelo criador dela. Por exemplo: stage testing account
+ **Status** - status da conta dentro da organização. Os valores podem ser `PENDING`, `ACTIVE` ou `SUSPENDED`.
+ **Estado** - estado da conta operacional dentro da organização. Os valores podem ser `PENDING_ACTIVATION`, `ACTIVE`, `SUSPENDED`, `PENDING_CLOSURE` ou `CLOSED`.
+ **Método de ingresso** - especifica como a conta foi criada. O valor pode ser `INVITED` ou `CREATED`.
+ **Timestamp do ingresso** - data e hora em que a conta ingressou na organização.
**Permissões mínimas**
Para exportar um arquivo .csv com todas as contas-membro da sua organização, você precisa ter as seguintes permissões:
`organizations:DescribeOrganization`
`organizations:ListAccounts`
------
#### [ Console de gerenciamento da AWS ]
**Para exportar um arquivo.csv para todos Contas da AWS em sua organização**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Selecione **Actions (Ações)** e, na **Conta da AWS**, escolha **Export account list (Exportar lista de contas)**. O banner azul no topo da página indica "Export is in progress\$1" (A exportação está em andamento\$1).
1. Quando o arquivo fica pronto, o banner fica verde e indica: "Download is ready\$1" (O download está pronto\$1). Escolha **Download CSV (Baixar CSV)**. O arquivo `Organization_accounts_information.csv` é baixado no seu dispositivo.
------
#### [ AWS CLI & AWS SDKs ]
A única maneira de exportar o arquivo .csv com detalhes de conta é usando o Console de gerenciamento da AWS. Não há como exportar o arquivo .csv da lista de contas usando o AWS CLI.
------
# Monitore o estado do seu Contas da AWS
AWS Organizations fornece uma maneira de avaliar rapidamente a integridade e o status operacional de todas as contas em sua organização. Você pode visualizar essas informações usando a coluna **Estado** no AWS Organizations console ou programaticamente por meio de. AWS Organizations APIs Isso permite que você acompanhe onde cada um Conta da AWS está em seu ciclo de vida, desde a criação até o fechamento.
O rastreamento contínuo do estado da conta oferece os seguintes benefícios:
+ Identifique rapidamente as contas que exigem atenção ou ação
+ Simplifique os processos de gerenciamento de contas
+ Tome decisões informadas sobre alocação de recursos e controle de acesso
+ Mantenha uma melhor segurança geral e conformidade em toda a sua organização
A tabela abaixo descreve os cinco estados possíveis da conta e suas implicações para suas Contas da AWS:
**Estados da conta**
| Estado | Description |
| --- | --- |
| ATIVAÇÃO PENDENTE | Nesse estado, a conta está inutilizável porque o processo de inscrição da conta foi iniciado, mas nunca concluído. O titular da conta deve concluir as etapas restantes da inscrição, como fornecer informações de verificação por telefone ou pagamento. Depois de concluir essas etapas, a conta passa para o estado ATIVO. |
| ATIVO | Esse estado indica que a conta está totalmente operacional e disponível. Os usuários podem acessar AWS serviços e recursos normalmente de acordo com as permissões da conta e as políticas da organização. AWS Atividades regulares, como lançar recursos, gerenciar serviços e incorrer em cobranças, podem ocorrer nesse estado. |
| SUSPENSA | Nesse estado, a conta está inutilizável porque AWS tem acesso restrito. O titular da conta ainda pode ver as informações de cobrança e o contato Suporte, que pode explicar por que a conta foi suspensa. |
| ENCERRAMENTO PENDENTE | Esse estado temporário indica uma solicitação ativa para fechar a conta, mas o processo de encerramento ainda não foi concluído. A conta permanece funcional e ainda pode ser usada para acessar AWS serviços enquanto a solicitação de encerramento é processada. Depois de AWS processar a solicitação de encerramento, a conta passa para o estado FECHADO. |
| FECHADO | Esse estado indica que a conta foi encerrada a pedido do titular da conta ou por AWS e é exibida ao lado do nome da conta no AWS Organizations console por 90 dias após o início do encerramento. Durante esse período, você não pode acessar AWS os serviços, mas pode entrar em contato Suporte para restabelecer a conta ou recuperar dados importantes. Depois de decorrido o período de 90 dias após o encerramento, a conta será encerrada permanentemente e não será mais exibida no console. AWS Organizations |
## Veja o estado de um Conta da AWS
Você pode visualizar as informações do estado da conta usando o AWS Organizations console ou programaticamente usando o `DescribeAccount``ListAccounts`, e. `ListAccountsForParent` APIs
**Importante**
O `Status` parâmetro da conta em AWS Organizations será retirado em 9 de setembro de 2026. Embora os `Status` parâmetros da conta `State` e da conta estejam atualmente disponíveis em AWS Organizations APIs (`DescribeAccount`,,`ListAccountsForParent`)`ListAccounts`, recomendamos que você atualize seus scripts ou outro código para usar o `State` parâmetro em vez de `Status` antes de 9 de setembro de 2026.
------
#### [ Console de gerenciamento da AWS ]
**Para ver o estado de um Conta da AWS**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Navegue até a **[Contas da AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**página e observe o valor na coluna **Estado** ao lado da conta de membro que você deseja examinar. Se a conta que você deseja ver for subordinada a uma UO, você poderá ter de escolher o ícone de triângulo ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/console-expand.png)ao lado de uma UO para expandi-la e ver suas subordinadas. Repita até encontrar a conta.
**nota**
Você também pode visualizar o valor do campo **Estado** na página **Detalhes da conta** no console do AWS Organizations .
------
#### [ AWS CLI & AWS SDKs ]
**Para ver o estado de um Conta da AWS**
Você pode usar os seguintes comandos para visualizar o estado de uma conta:
**nota**
Para ver os valores do estado da conta nas respostas da API, use a AWS CLI versão 2.29.0 ou posterior ou uma versão do SDK lançada após 9 de setembro de 2025. Recomendamos usar a versão mais recente AWS CLI ou a versão do SDK como prática recomendada. Para obter mais informações, consulte o [ciclo de vida da versão AWS SDKs e das ferramentas](https://docs.aws.amazon.com/sdkref/latest/guide/version-support-matrix.html) no AWS SDKs Guia de *referência de ferramentas*.
+ AWS CLI:
+ [list-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html) – lista os detalhes de *todas* as contas da organização
+ [list-accounts-for-parent](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts-for-parent.html)— lista os detalhes de *todas as* contas na organização que estão contidas na raiz ou unidade organizacional (OU) de destino especificada
+ [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html) – lista os detalhes apenas da conta especificada
Esses comandos retornam os mesmos detalhes para cada conta incluída na resposta.
O exemplo a seguir mostra como recuperar os detalhes sobre uma conta especificada, incluindo seu valor `State`.
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"State": "CLOSED",
"Status": "SUSPENDED",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ AWS SDKs:
+ [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
+ [ListAccountsForParent](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccountsForParent.html)
+ [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# Atualize os contatos alternativos de uma conta no AWS Organizations
Você pode atualizar contatos alternativos para contas em sua organização usando o console AWS Organizations ou programaticamente usando a CLI AWS ou. AWS SDKs Para saber como atualizar contatos alternativos, consulte [Atualizar os contatos alternativos de qualquer pessoa Conta da AWS da sua organização](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-alternate.html#manage-acct-update-contact-alternate-orgs.html) na *Referência de gerenciamento de AWS contas*.
# Atualize as informações de contato principais de uma conta no AWS Organizations
Você pode atualizar as informações de contato primárias das contas em sua organização usando o console AWS Organizations ou programaticamente usando a CLI AWS ou. AWS SDKs Para saber como atualizar as informações de contato principais, consulte [Atualizar o contato principal de qualquer pessoa Conta da AWS da sua organização](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-primary.html#manage-acct-update-contact-primary-orgs) na *Referência de gerenciamento de AWS contas*.
# Atualização Regiões da AWS para uma conta em AWS Organizations
Você pode atualizar Regiões da AWS as contas habilitadas em sua organização usando o AWS Organizations console. Para saber como ativar a atualização Regiões da AWS, consulte [Ativar ou desativar Regiões da AWS em sua AWS conta](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html) *na Referência de gerenciamento de contas*.