本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将账户转移到其他组织
<a name="account-transfer"></a>

您可以将在 AWS Control Tower 中注册的成员账户转移到其他 AWS Organizations 组织。

## 先决条件
<a name="account-transfer-prerequisites"></a>
+ 该账户必须注册来源组织的 AWS Control Tower。也就是说，该账户已应用基准、主动控制或侦探控制。
+ 账户必须在转账前至少 4 天创建。
+ 您必须有权访问来源组织和目标组织的管理帐户。

## 第 1 步：从 AWS Control Tower 取消账户注册
<a name="account-transfer-unenroll"></a>

在转移账户之前，您必须禁用所有直接应用于该账户的 AWS Control Tower 资源。该账户可以继续继承预防性控制。

**如果您使用自动注册**

将账户移至以下位置之一：
+ 组织的根源
+ 非托管 OU
+ 在 Landing Zone 4.0 或更高版本中，仅启用预防性控制的 OU

**如果您不使用自动注册**

如果您使用自动注册，也可以使用以下方法。
+ 对于具有 AWS Control Tower 和备份基准的账户，请从 AWS Control Tower 控制台中选择**取消管理**。您也可以使用 S AWS ervice Catalog APIs 或控制台终止已配置的产品。
+ 对于具有 AWS Config 基准的账户，请在 OU 上禁用 AWS Config 基准，或者将账户移至 root 用户并使用 `DisableBaseline` API。

## 步骤 2：将账户转移到目标组织
<a name="account-transfer-migrate"></a>

禁用除预防性控制之外的所有 AWS Control Tower 基准和适用于该账户的控制后，完成转移。

1. 从目标组织的管理账户向成员账户发送邀请。

1. 接受来自成员账户的邀请。

1. 从目标组织的管理账户中，将该账户移至所需的 OU。

有关迁移过程的说明，请参阅*AWS Organizations 用户指南*中的[将 AWS 账户迁移到其他组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_account_migration.html)。

## 步骤 3：在目标组织中注册账户
<a name="account-transfer-enroll"></a>

账户进入目标组织后，将其注册到 AWS Control Tower。
+ 如果在管理目标组织的 AWS Control Tower 着陆区启用了自动注册，则 AWS Control Tower 会自动对账户应用基准和控制权。
+ 如果您未在目标组织中使用自动注册，请在 AWS Control Tower 中手动注册账户。有关更多信息，请参阅 [关于注册现有账户](enroll-account.md)。

## 其他注意事项
<a name="account-transfer-considerations"></a>

等待期  
通过 AWS Organizations 或 Account Factory 创建的账户必须至少保存 4 天，然后才能将其转移或从组织中移除。有关更多信息，请参阅《*AWS Organizations 用户指南》*中的[从组织中移除成员帐户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)。

AWS Config 聚合器限制  
当您转移多个账户时，您可能会达到所有聚合器每周添加或删除账户的最大数量的 AWS Config 限制 (1,000)。要请求提高限制，请参阅 [AWS Config 服务限制](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html)。您也可以升级到 landing zone 版本 4.0，该版本使用与服务关联的 Config 聚合器。有关更多详细信息，请参阅 land [AWS ing zone 版本 4.0 中的配置更新](https://docs.aws.amazon.com/controltower/latest/userguide/config-updates-v4.html)。

成员账户访问权限  
已取消注册的账户没有`AWSControlTowerExecution`角色。当您禁用 Config 或 AWS Control Tower 基准时，AWS Control Tower 会删除其执行角色并添加`OrganizationsAccountAccessRole`。您可以使用此角色接受目标组织的邀请。  
在目标组织中注册账户后，`AWSControlTowerExecution`角色即被创建。此角色取代`OrganizationsAccountAccessRole`并信任新的管理账户。

AWS Service Catalog 和自动注册  
自动注册不会对 S AWS ervice Catalog 中的资源起作用。即使底层账户已取消注册，所有 Account Factory 预配置产品仍保留在管理账户中。要终止管理账户中的这些预配置产品，请参阅 S *AWS ervice Catalog 用户*指南中的[删除预配置产品](https://docs.aws.amazon.com/servicecatalog/latest/userguide/enduser-delete.html)。所有 Account Factory 定制 (AFC) 蓝图都保留在账户中。