本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用管理成员账户 AWS Organizations
除管理*账户外 AWS 账户,成员*账户是组织的一部分。
本主题介绍如何使用管理成员账户 AWS Organizations。
**Topics**
+ [成员账户的最佳实践](orgs_best-practices_member-acct.md)
+ [创建成员账户](orgs_manage_accounts_create.md)
+ [访问成员账户](orgs_manage_accounts_access.md)
+ [关闭成员账户](orgs_manage_accounts_close.md)
+ [保护成员账户免遭关闭](orgs_account_close_policy.md)
+ [删除成员账户](orgs_manage_accounts_remove.md)
+ [作为成员账户退出组织](orgs_manage_accounts_leave-as-member.md)
+ [更新成员账户的账户名称](orgs_manage_accounts_update_name.md)
+ [更新成员账户的根用户电子邮件地址](orgs_manage_accounts_update_primary_email.md)
# 成员账户的最佳实践
请遵循以下建议,以帮助保护组织中成员账户的安全。这些建议假定您还遵守[仅将根用户用于真正需要它的任务的最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。
**Topics**
+ [定义账户名称和属性](#bp_member-acct_define-acct)
+ [高效扩展环境和使用账户](#bp_member-acct_efficiently-scale)
+ [启用根访问权限管理,简化成员账户的根用户凭证管理](#bp_member-acct_root-access-management)
## 定义账户名称和属性
对于成员账户,请使用反映账户使用情况的命名结构和电子邮件地址。例如,`Workloads+fooA+dev@domain.com` 可用于 `WorkloadsFooADev`,`Workloads+fooB+dev@domain.com` 可用于 `WorkloadsFooBDev`。如果您为组织定义了自定义标签,我们建议您根据账户使用情况、成本中心、环境和项目,来为账户分配这些标签。这样可以更轻松地识别、整理和搜索账户。
## 高效扩展环境和使用账户
在扩大规模时,在创建新账户之前,请确保尚不存在满足类似需求的账户,以避免不必要的重复。 AWS 账户 应基于共同的访问要求。如果您计划回收利用某些账户(例如沙盒账户或等效账户),我们建议您清理账户中不需要的资源或工作负载,但保存这些账户以备将来使用。
在注销账户之前,请注意账户注销限额限制。有关更多信息,请参阅 [的配额和服务限制 AWS Organizations](orgs_reference_limits.md)。考虑实施清理流程以回收利用账户,而不是尽可能注销账户和创建新账户。这样,您就可以避免因运行资源和达到 [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) 限制而产生成本。
## 启用根访问权限管理,简化成员账户的根用户凭证管理
建议您启用根访问权限管理,帮助监控和移除成员账户的根用户凭证。根访问权限管理可防止恢复根用户凭证,从而提高组织中的账户安全性。
+ 移除成员账户的根用户凭证,以防止登录到根用户。这也能防止成员账户恢复根用户。
+ 假设特权会话对成员账户执行以下任务:
+ 删除一项配置错误的存储桶策略,此策略拒绝所有主体访问 Amazon S3 存储桶策略。
+ 删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
+ 允许成员账户恢复其根用户凭证。有权访问该成员账户根用户电子邮件收件箱的人可以重置根用户密码,并以成员账户根用户身份登录。
启用根访问管理后,新创建的成员账户将没有根用户证书,这样就无需在配置后提供额外的安全保护,例如MFA。 secure-by-default
有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[集中成员账户的根用户凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)。
### 使用 SCP 限制成员账户中的根用户可以执行的操作
我们建议您在组织中创建服务控制策略(SCP)并将其附加到组织的根,以便将其应用于所有成员账户。有关更多信息,请参阅[保护 Organizations 账户根用户凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations)。
除必须在成员账户中执行的特定仅限根操作外,您可以拒绝所有根操作。例如,以下 SCP 可防止任何成员账户中的根用户进行任何 AWS 服务 API 调用,但 “更新配置错误的 S3 存储桶策略并拒绝所有委托人访问权限”(需要根凭证的操作之一)除外。有关更多信息,请参阅《*IAM 用户指南*》中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotAction":[
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:DeleteBucketPolicy"
],
"Resource": "*",
"Condition": {
"ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
}
}
]
}
```
------
在大多数情况下,任何管理任务都可以由成员账户中具有相关管理员权限的 AWS Identity and Access Management (IAM)角色执行。对于任何此类角色,都应使用适当的控件来限制、记录和监控其活动。
# 使用在组织中创建成员账户 AWS Organizations
本主题介绍如何在您的组织 AWS 账户 中创建 AWS Organizations。有关创建单曲的信息 AWS 账户,请参阅[入门资源中心](https://aws.amazon.com/getting-started/)。
## 创建成员账户前的注意事项
**Organizations 会自动为成员账户创建 IAM 角色 `OrganizationAccountAccessRole`**
当您在组织中创建成员账户时,Organizations 将自动在成员账户中创建一个 IAM角色 `OrganizationAccountAccessRole`,以允许管理账户中的用户和角色对成员账户进行完全管理控制。每次策略更新时,附加到同一托管式策略的任何其他账户都会自动更新。此角色受适用于成员账户的任何[服务控制策略 (SCPs)](orgs_manage_policies_scps.md) 的约束。
**Organizations 会自动为成员账户创建服务关联角色 `AWSServiceRoleForOrganizations`**
当您在组织中创建成员账户时,Organizations 会自动在成员账户`AWSServiceRoleForOrganizations`中创建服务相关角色,以便与所选 AWS 服务集成。您必须配置其他服务来允许集成。有关更多信息,请参阅 [AWS Organizations 和服务相关角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。
**只能在组织的根中创建成员账户**
组织中的成员账户只能在组织的根中创建。在创建组织的成员账户根目录后,您可以将其移动 OUs。有关更多信息,请参阅 [将帐户移至组织单位 (OU) 或在根和组织单位之间移 OUs 动 AWS Organizations](move_account_to_ou.md)。
**附加到根的策略会立即生效**
如果您在根上附加了任何策略,这些策略会立即应用于所创建账户中的所有用户和角色。
如果您[为组织中的其他服务启用了 AWS 服务信任](orgs_integrate_services_list.md),则该可信服务可以在组织中的任何成员帐户(包括您创建的帐户)中创建服务相关角色或执行操作。
**成员账户必须选择启用才能接收营销电子邮件**
您作为组织的一员创建的成员帐户不会自动订阅 AWS 营销电子邮件。要为您的账户选择启用接收营销电子邮件,请参阅[https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences)。
** AWS Control Tower 应在以下位置创建由管理的组织的成员帐户 AWS Control Tower**
如果您的组织由管理 AWS Control Tower,我们建议您使用 AWS Control Tower 控制台中的 AWS Control Tower 账户工厂或使用创建成员账户 AWS Control Tower APIs。
如果您在组织由管理的 Organizations 中创建成员帐户 AWS Control Tower,则该帐户将无法注册到该帐户 AWS Control Tower。有关更多信息,请参阅《AWS Control Tower 用户指南》**中的[引用 AWS Control Tower的外部资源](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources)。
## 创建成员账户
登录到组织的管理账户后,您可以创建属于组织的成员账户。
使用以下步骤创建账户时, AWS Organizations 会自动将以下**主要联系人**信息从管理账户复制到新成员账户:
+ Phone number(电话号码)
+ 公司名称
+ 网站 URL
+ 地址
Organizations 还会从管理账户中复制通信语言和 Marketplace 信息(在某些情况下是账户的供应商 AWS 区域)。
**最小权限**
要在组织中创建成员账户,您必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:CreateAccount`
### AWS 管理控制台
**创建自动成为您组织一部分的 AWS 账户**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面上,选择 **Add an AWS 账户(添加亚马逊云科技账户)**。
1. 在**[添加 AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**页面上,选择**创建 AWS 账户**(默认已选中)。
1. 在**[创建 AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**页面上,在 **AWS 账户 名称**中输入您想要为此账户分配的名称。此名称将帮助您区分该账户与组织中的所有其他账户,并且独立于 IAM 别名或拥有者的电子邮件名称。
1. 对于 **Email address of the account's owner (账户拥有者的电子邮件地址)**,输入账户拥有者的电子邮件地址。此电子邮件地址已无法与其他电子邮件地址关联, AWS 账户 因为它已成为该账户根用户的用户名凭证。
1. (可选)指定分配到在新账户中自动创建的 IAM 角色的名称。此角色向组织的管理账户授予访问新创建的成员账户的权限。如果未指定名称,则 AWS Organizations 为角色指定默认名称`OrganizationAccountAccessRole`。建议您对您的所有账户使用默认名称以实现一致性。
**重要**
请记住此角色名称。稍后,您将需要使用此名称向管理账户中的用户和角色的新账户授予访问权。
1. (可选)在**标签**部分中,向新账户添加一个或多个标签,方法是选择**添加标签**,然后输入一个键和可选的值。将值留空,设置为空字符串;它并非 `null`。您最多可以向账户附加 50 个标签。
1. 选择**创建 AWS 账户**。
+ 如果您收到错误,指明您超出了组织的账户配额,请参阅[尝试向组织中添加账户时,我收到“quota exceeded (超出限额)”消息](orgs_troubleshoot.md#troubleshoot_general_error-adding-account)。
+ 如果您收到错误,指明由于您的组织仍在进行初始化,所以您无法添加账户,请等待一小时,然后重试。
+ 您也可以查看日 AWS CloudTrail 志,了解账户创建是否成功的信息。有关更多信息,请参阅 [登录和监控 AWS Organizations](orgs_security_incident-response.md)。
+ 如果错误仍然存在,请联系 [AWS 支持](https://console.aws.amazon.com/support/home#/)。
此时将显示**[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面,并将您的新账户添加到列表中。
1. 现在,账户已存在,并拥有向管理账户中的用户授予管理员访问权的 IAM 角色,您可以按照[使用访问组织中的成员账户 AWS Organizations](orgs_manage_accounts_access.md)中的步骤访问账户。
### AWS CLI & AWS SDKs
以下代码示例演示如何使用 `CreateAccount`。
------
#### [ .NET ]
**适用于 .NET 的 SDK**
还有更多相关信息 GitHub。在 [AWS 代码示例存储库](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中查找完整示例,了解如何进行设置和运行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new AWS Organizations account.
///
public class CreateAccount
{
///
/// Initializes an Organizations client object and uses it to create
/// the new account with the name specified in accountName.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var accountName = "ExampleAccount";
var email = "someone@example.com";
var request = new CreateAccountRequest
{
AccountName = accountName,
Email = email,
};
var response = await client.CreateAccountAsync(request);
var status = response.CreateAccountStatus;
Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
}
}
```
+ 有关 API 的详细信息,请参阅 *适用于 .NET 的 AWS SDK API 参考[CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)*中的。
------
#### [ CLI ]
**AWS CLI**
**创建自动属于组织的成员账户**
以下示例演示如何创建组织的成员账户。为成员账户配置的名称为 Production Account,电子邮件地址为 susan@example.com。 OrganizationAccountAccessRole 由于未指定 roleName 参数,Organizations 会使用默认名称自动创建 IAM 角色。此外,由于未指定 IamUserAccessToBilling 参数,允许具有足够权限的 IAM 用户或角色访问账户账单数据的设置被设置为默认值 ALLOW。Organiations 会自动向 Susan 发送一封 “欢迎来到 AWS” 电子邮件:
```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
输出包括一个请求对象,以显示状态目前为 `IN_PROGRESS`:
```
{
"CreateAccountStatus": {
"State": "IN_PROGRESS",
"Id": "car-examplecreateaccountrequestid111"
}
}
```
稍后,您可以通过向 describe-create-account-status命令提供 Id 响应值作为 create-account-request-id参数值来查询请求的当前状态。
有关更多信息,请参阅《Organi AWS zations *用户指南》中的在AWS 组织*中创建帐户。
+ 有关 API 的详细信息,请参阅*AWS CLI 命令参考[CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)*中的。
------
# 使用访问组织中的成员账户 AWS Organizations
在组织中创建账户时,除了根用户外,AWS Organizations 还会自动创建默认名为 `OrganizationAccountAccessRole` 的 IAM 角色。您可以在创建时指定不同的名称,但我们建议您在所有账户中使用一致的名称。 AWS Organizations 不会创建任何其他用户或角色。
要访问组织中的账户,您必须使用以下方法之一:
**最小权限**
要 AWS 账户 从组织中的任何其他账户访问的,您必须具有以下权限:
`sts:AssumeRole` – `Resource` 元素必须设置为星号(\$1)或账户的账户 ID 号,该账户具有要访问新成员账户的用户。
------
#### [ Using the root user (Not recommended for everyday tasks) ]
您在组织中创建新的成员账户时,该账户默认不具有根用户凭证。除非启用账户恢复,否则成员账户不能登录到他们的根用户或为其根用户执行密码恢复。
您可以[集中成员账户的根访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html),以移除组织中现有成员账户的根用户凭证。删除根用户凭证将会移除根用户密码、访问密钥、签名证书,并停用多重身份验证(MFA)。这些成员账户没有根用户凭证,无法以根用户身份登录,并且无法恢复根用户密码。默认情况下,您在 Organizations 中创建的新账户不具有根用户证书。
如果您需要在没有根用户凭证的成员账户上执行需要根用户凭证才能执行的任务,请联系您的管理员。
要以根用户身份访问成员账户,您必须完成密码恢复过程。有关更多信息,请参阅《AWS Sign-In 用户指南》中的 [我忘记了 AWS 账户根用户密码](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password)**。
如果必须使用根用户来访问成员账户,请遵循以下最佳实践:
+ 除非是创建其他具有更多受限权限的用户和角色,否则请不要使用根用户来访问账户。然后以这些用户或角色之一的身份登录。
+ [对根用户启用多重身份验证(MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa)。重置密码,然后[向根用户分配 MFA 设备](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)。
有关要求您以根用户身份登录的任务的完整列表,请参阅 *IAM 用户指南*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。有关其他根用户安全建议,请参阅《IAM 用户指南》**中的[您的 AWS 账户的根用户最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。
------
#### [ Using trusted access for IAM Identity Center ]
使用[AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)并启用 IAM 身份中心的可信访问权限 AWS Organizations。这允许用户使用其公司凭据登录 AWS 访问门户,并访问其分配的管理账户或成员账户中的资源。
有关更多信息,请参阅《*AWS IAM Identity Center 用户指南*》中的[多账户权限](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html)。有关为 IAM Identity Center 设置可信访问的信息,请参阅 [AWS IAM Identity Center 和 AWS Organizations](services-that-can-integrate-sso.md)。
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
如果您使用中提供的工具创建账户 AWS Organizations,则可以使用以这种方式创建的所有新账户中都存在的名`OrganizationAccountAccessRole`为的预配置角色来访问该账户。有关更多信息,请参阅 [访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。
如果您邀请现有账户加入您的组织,并且该账户接受邀请,则您可以选择创建 IAM 角色来允许管理账户访问受邀成员账户。此角色应该与自动添加到使用 AWS Organizations创建的账户中的角色相同。
如需创建此角色,请参阅[使用 OrganizationAccountAccessRole 创建受邀账号 AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)。
创建角色之后,您可以使用[访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)中的步骤访问它。
------
**Topics**
+ [创建 IAM 访问角色](orgs_manage_accounts_create-cross-account-role.md)
+ [使用 IAM 访问角色](orgs_manage_accounts_access-cross-account-role.md)
# 使用 OrganizationAccountAccessRole 创建受邀账号 AWS Organizations
默认情况下,如果您创建属于组织的成员账户, AWS 会自动在账户中创建一个角色,将管理员权限授予管理账户中可以担任角色的 IAM 用户。默认情况下,该角色名为 `OrganizationAccountAccessRole`。有关更多信息,请参阅 [访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。
但是,您*邀请* 加入组织中的成员账户***不*** 自动创建管理员角色。您必须手动完成此操作,如以下过程中所示。这实际上是复制自动为所创建账户设置的角色。我们建议您为手动创建的角色使用相同的名称 `OrganizationAccountAccessRole`,以确保一致性和方便记忆。
------
#### [ AWS 管理控制台 ]
**在成员账户中创建 AWS Organizations 管理员角色**
1. 登录 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。您必须以 IAM 用户身份登录,担任 IAM 角色;或以成员账户中的根用户身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。用户或角色必须具有创建 IAM 角色和策略的权限。
1. 在 IAM 控制台中,导航至**角色**,然后选择**创建角色**。
1. 选择 **AWS 账户**,然后选择 “其**他**” AWS 账户。
1. 输入您希望向其授予管理员访问权限的管理账户的 12 位账户 ID 编号。在**选项**下,请注意以下方面:
+ 对于此角色,由于账户是公司的内部账户,因此,您**不**应选择 **Require external ID (需要外部 ID)**。有关外部 ID 选项的更多信息,请参阅《IAM 用户指南》**中的[我何时应使用外部 ID?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use)。
+ 如果您启用了 MFA 并进行了配置,则可以选择要求使用 MFA 设备进行身份验证。有关 MFA 的更多信息,请参阅《IAM 用户指南》**中的[在 AWS中使用多重身份验证(MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
1. 选择**下一步**。
1. 在**附加权限**页面上,选择名为 `AdministratorAccess` 的 AWS 托管式策略,然后选择**下一步**。
1. 在**命名、检查和创建**页面上,指定一个角色名称和可选的描述。我们建议您使用 `OrganizationAccountAccessRole`,以便与分配给新账户中角色的默认名称保持一致。要提交您的更改,请选择 **Create role** (创建角色)。
1. 您的新角色将显示在可用角色列表上。选择新角色的名称以查看详细信息,特别注意提供的链接 URL。向成员账户中需要访问该角色的用户提供此 URL。此外,记下 **Role ARN (角色 ARN)**,因为您在步骤 15 中需要它。
1. 登录 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。此时,以管理账户中有权创建策略和将策略分配给用户或组的用户身份登录。
1. 导航到**策略**,然后选择**创建策略**。
1. 对于 **Service**,选择 **STS**。
1. 对于 **Actions (操作)**,在 **Filter (筛选器)** 框中开始键入 **AssumeRole**,然后在该角色显示后选中其旁边的复选框。
1. 在 “**资源**” 下,确保选择 “**特定**”,然后选择 “**添加**” ARNs。
1. 输入 AWS 成员账户 ID 号,然后输入您之前在步骤 1—8 中创建的角色的名称。选择**添加 ARNs**。
1. 如果您正授予在多个成员账户中代入该角色的权限,请为每个账户重复步骤 14 和 15。
1. 选择**下一步**。
1. 在**检查并创建**页面上,输入新策略的名称,然后选择**创建策略**以保存您的更改。
1. 导航窗格中选择**用户组**,然后选择要用于委派成员账户的管理权限的组的名称(不是复选框)。
1. 选择**权限**选项卡。
1. 选择**添加策略**,选择**附加策略**,然后选择您在步骤 11–18 中创建的策略。
------
属于所选群组成员的用户现在可以使用您在步骤 9 中捕获的来访问每个成员账户的角色。 URLs 他们可以像访问您在组织中创建的账户一样访问这些成员账户。有关使用角色来管理成员账户的更多信息,请参阅[访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。
# 访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations
使用 AWS Organizations 控制台创建成员账户时, AWS Organizations *会自动*创建账户`OrganizationAccountAccessRole`中名为的 IAM 角色。此角色具有成员账户中的完整管理权限。此角色的访问范围包括管理账户中的所有主体,因此该角色将配置为授予对该组织管理账户的访问权限。
您可以按照[使用 OrganizationAccountAccessRole 创建受邀账号 AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)中的步骤,为受邀成员账户创建相同的角色。
要使用此角色访问成员账户,您必须以有权担任角色的管理账户中用户的身份登录。要配置这些权限,请执行以下过程。我们建议您向组而不是用户授予权限,以便于维护。
------
#### [ AWS 管理控制台 ]
**向管理账户中 IAM 组的成员授予权限以访问角色**
1. 以具有管理账户管理员权限的用户[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)身份登录 IAM 控制台。这是向 IAM 组委派权限所必需的,该组的用户将具有成员账户中的角色。
1. 首先,创建您稍后在[Step 14](#step-choose-group)中需要的托管策略。
在导航窗格中选择**策略**,然后选择**创建策略**。
1. 在可视化编辑器选项卡上,选择**选择服务**,在搜索框中输入 **STS** 以筛选列表,然后选择 **STS** 选项。
1. 在 “**操作**” 部分,**assume**在搜索框中输入以筛选列表,然后选择**AssumeRole**选项。
1. 在 “**资源**” 部分中,选择 “**特定**”,选择 “**添加**” ARNs
1. 在**指定 ARN** 部分中,对于资源位置选择**其他账户**。
1. 输入您刚刚创建的成员账户的 ID
1. 对于**资源角色名称及路径**,请输入您在上一节中创建的角色的名称(我们建议将其命名为 `OrganizationAccountAccessRole`)。
1. ARNs当对话框显示正确的 ARN 时,选择**添加**。
1. (可选)如果您要求多重验证 (MFA),或要限制此角色从指定的 IP 地址范围进行访问,请展开 Request conditions (请求条件) 部分,然后选择要强制执行的选项。
1. 选择**下一步**。
1. 在**检查并创建**页面上,输入新策略的名称。例如:**GrantAccessToOrganizationAccountAccessRole**。您还可以添加可选的说明。
1. 选择 **Create policy (创建策略)** 以保存新的托管策略。
1. 现在,您已有策略可用,您可以将其附加到组。
在导航窗格中选择**用户组**,然后选择其成员能够代入成员账户中角色的组的名称(不是复选框)。如果需要,您可以创建新组。
1. 请选择**权限**选项卡,选择**添加权限**,然后选择**附加策略**。
1. (可选)在 **Search (搜索)** 框中,您可以开始键入策略的名称以筛选列表,直到您可以看到刚刚在[Step 2](#step-create-policy)到[Step 13](#step-end-policy)中创建的策略的名称。还可以通过选择**所有类型**,然后选择**客户管理**,从而筛选出所有 AWS 托管式策略。
1. 选中策略旁边的复选框,然后选择**附加策略**。
------
作为群组成员的 IAM 用户现在有权使用以下步骤在 AWS Organizations 控制台中切换到新角色。
------
#### [ AWS 管理控制台 ]
**切换到成员账户的角色**
使用该角色时,用户具有新成员账户中的管理权限。指示您的作为该组成员的 IAM 用户执行以下操作以切换到新角色。
1. **从 AWS Organizations 控制台的右上角,选择包含您当前登录名的链接,然后选择 Switch Role。**
1. 输入管理员提供的账户 ID 号和角色名称。
1. 对于 **Display Name (显示名称)**,输入文本;在您使用角色时,该文本将显示在导航栏的右上角用于替换您的用户名。您还可选择颜色。
1. 选择**切换角色**。现在,您执行的所有操作已完成,并且已将权限授予给您切换到的角色。在切换回之前,您不再具有与原始 IAM 用户关联的权限。
1. 完成执行需要角色权限的操作后,您可以切换回普通 IAM 用户。在右上角选择角色名称(无论您指定为 “**显示名称**”),然后选择 “**返回**”。*UserName*
------
# 关闭组织中的成员账户 AWS Organizations
如果您不再需要组织中的某个成员账户,则可以遵循本主题中的说明从 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)将其注销。只有当您的组织处于 “[所有功能](orgs_getting-started_concepts.md#feature-set-all)” 模式时,您才能使用 AWS Organizations 控制台关闭成员账户。
您也可以在以 root 用户身份登录 AWS 管理控制台 后 AWS 账户 直接从 “[**帐户**” 页面](https://console.aws.amazon.com/billing/home#/account)关闭。有关 step-by-step说明,请参阅《*AWS 账户管理指南》 AWS 账户中的[关闭](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html)和*。
要注销管理账户,请参阅[注销组织的管理账户](orgs_manage_accounts_close_management.md)。
## 注销成员账户
登录到企业的管理账户时,您可以关闭属于企业的成员账户。为此,请完成以下步骤。
**重要**
在注销会员账户之前,我们强烈建议您查看注意事项并了解注销账户的影响。有关更多信息,请参阅《AWS 账户管理指南》中的 [What you need to know before closing your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) 和 [What to expect after you close your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure)**。
------
#### [ AWS Management Console ]
**通过 AWS Organizations 控制台关闭成员账户**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户身份登录,或在组织的管理账户中以根用户身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)** 页面上,找到并选择您想要关闭的成员账户的名称。您可以导航 OU 层次结构,或查看没有 OU 结构的账户的平面列表。
1. 选择页面顶部的账户名称旁边的 **Close**(关闭)。仅当 AWS 组织处于[所有功能](orgs_getting-started_concepts.md#feature-set-all)模式时,此选项才可用。
**注意**
如果您的组织使用[整合账单](orgs_getting-started_concepts.md#feature-set-cb-only)模式,您将无法在控制台中看到**关闭**按钮。要在整合账单模式下关闭账户,请以根用户身份登录要关闭的账户。在**账户**页面上,选择**关闭账户**按钮,输入账户 ID,然后选择**关闭账户**按钮。
1. 阅读并确保理解账户关闭指南。
1. 输入成员账户 ID,然后选择**注销账户**。
**注意**
您注销的任何成员账户将在 AWS Organizations 控制台中的账户名称旁边显示一个 `CLOSED` 标签,自原始注销日期起最长持续 90 天。90 天后,该成员账户将永久关闭,不再显示在 AWS Organizations 控制台中。请注意,永久关闭后,该账户可能需要几天时间才能从组织中删除。
**从“账户”页面关闭成员账户**
或者,您可以直接从中的**账户**页面关闭 AWS 成员账户 AWS 管理控制台。如需 step-by-step指导,请按照《*AWS 账户管理指南》 AWS 账户*中[关闭](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html)和中的说明进行操作。
------
#### [ AWS CLI & AWS SDKs ]
**要关闭 AWS 账户**
您可以使用以下命令之一关闭 AWS 账户:
+ AWS CLI:[close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)
```
$ aws organizations close-account \
--account-id 123456789012
```
如果成功,此命令不会产生任何输出。
+ AWS SDKs: [CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)
------
# 保护会员账户不被关闭 AWS Organizations
要保护成员账户免遭意外关闭,可以创建一个 IAM 策略,指定哪些账户可免于关闭。此策略可防止受保护的成员账户遭到关闭。
使用以下方法之一创建 IAM 策略,拒绝账户关闭:
+ 使用受保护的账户在政策`Resource`元素中明确列出受保护的账户 ARNs。
+ 标记个人账户,并使用 `aws:ResourceTag` 全局条件键来防止已标记账户被关闭。
**注意**
服务控制策略 (SCPs) 不影响管理账户中的 IAM 委托人。
## 防止成员账户关闭的 IAM policy 示例
以下代码示例展示了两种可用来限制成员账户注销账户的不同功能方法。
------
#### [ Prevent member accounts with tags from getting closed ]
您可以将以下策略附加到管理账户中的身份。此策略防止管理账户中的主体关闭任何标记为 `aws:ResourceTag` 标记全局条件键、`AccountType` 键和 `Critical` 标签值的成员账户。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccountForTaggedAccts",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
}
}
]
}
```
------
#### [ Prevent member accounts listed in this policy from getting closed ]
您可以将以下策略附加到管理账户中的身份。此策略可防止管理账户中的主体关闭 `Resource` 元素中明确指定的成员账户。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccount",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": [
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
]
}
]
}
```
------
# 通过以下方式从组织中删除成员账户 AWS Organizations
移除成员账户不会导致该账户被注销,而只是将成员账户从组织中移除。以前的成员账户变为独立账户 AWS 账户 ,不再由其管理 AWS Organizations。
移除账户后,该账户不再受任何策略约束,并自行支付账单。从组织中移除账户后,该账户应计的任何费用将不再计入该组织的管理账户。
## 注意事项
**管理账户创建的 IAM 访问角色不会被自动删除**
当您从组织中移除成员账户时,为允许该组织的管理账户访问而创建的任何 IAM 角色都不会自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
**仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户**
仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户。使用 AWS Organizations 控制台、API 或 AWS CLI 命令在组织中创建账户时,*不会*自动收集独立账户所需的所有信息。
对于您想要独立创建的每个账户,您都必须选择支持计划,提供并验证所需的联系信息,并提供当前的付款方式。 AWS 使用付款方式对账户未关联到组织期间发生的任何可计费(非 AWS 免费套餐) AWS 活动收费。要移除还没有此信息的账户,请按照 [从成员账户中退出组织 AWS Organizations](orgs_manage_accounts_leave-as-member.md) 中的步骤操作。
**您必须等到账户创建后至少满四天**
在组织中创建账户后,必须至少要满四天才能移除该账户。邀请的账户不受此等待期限的限制。
**退出组织的账户的所有者将负责所有产生的新成本**
当账户成功离开组织 AWS 账户 时,账户的所有者将负责应计的所有新 AWS 费用,并使用该账户的付款方式。该组织的管理账户不再负责。
**该账户不能是为组织启用的任何 AWS 服务的委派管理员账户**
要删除的帐户不得是为组织启用的任何 AWS 服务的委派管理员帐户。如果该账户是委托管理员,则必须首先将委托管理员账户更改为组织中剩余的其他账户。有关如何禁用或更改 AWS 服务的委派管理员帐户的更多信息,请参阅该服务的文档。
**该账户不再能够访问成本和使用情况数据**
当某个成员账户离开组织后,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。但是,组织的管理账户仍可以访问这些数据。如果该账户重新加入组织,则其将可以再次访问这些数据。
**该账户上附加的标签将被删除**
当成员账户离开组织时,所有附加到该账户的标签都将被删除。
**该账户中的主体不再受任何组织策略的影响**
该账户中的委托人不再受组织内应用的任何[策略](orgs_manage_policies.md)影响。这意味着施加的限制 SCPs 已经消失,账户中的用户和角色可能比以前拥有更多的权限。其他组织策略类型不能再强制执行或处理。
**该账户不再属于组织协议的管辖范围**
如果从组织中删除成员账户,则该成员账户将不再由组织协议所涵盖。管理账户管理员应在从组织中删除成员账户之前将此信息传达给成员账户,以便成员账户可以在必要时添加新协议。可以在 AWS Artifact 控制台的 “组织协议” 页面上查看有效的[AWS Artifact 组织协议](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements)列表。
**与其他服务的集成可能被禁用**
与其他服务的集成可能会被禁用。如果您从启用了与某项 AWS 服务集成的组织中删除一个帐户,则该账户中的用户将无法再使用该服务。
## 从组织中移除成员账户
登录组织的管理账户后,您可以从组织中移除不再需要的成员账户。为此,请完成以下过程。以下过程仅适用于成员账户。要移除管理账户,您必须[删除组织](orgs_manage_org_delete.md)。
**最小权限**
要从您的组织中移除一个或多个成员账户,您必须以管理账户中的用户或角色身份登录并且必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:RemoveAccountFromOrganization`
如果您选择在第 5 步中以成员账户中的用户或角色身份登录,则该用户或角色必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要。
`organizations:LeaveOrganization` – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。
如果您以 IAM 用户身份登录并且账户缺少付款信息,则用户必须具有 `aws-portal:ModifyBilling` 和 `aws-portal:ModifyPaymentMethods` 权限(如果账户尚未迁移到精细权限)或 `payments:CreatePaymentInstrument` 和 `payments:UpdatePaymentPreferences` 权限(如果账户已迁移到精细权限)。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅《AWS Billing 用户指南》**中的[激活对账单和成本管理控制台的访问权](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)。
------
#### [ AWS 管理控制台 ]
**从组织中删除成员账户**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面上,找到并选中要从组织中删除的每个成员账户旁的复选框 ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/checkbox-selected.png)。您可以浏览 OU 层次结构或启用 “** AWS 账户 仅查看” 以查看**没有 OU 结构的账户的平面列表。如果您有很多账户,您可能需要在列表底部选择 **Load more accounts in '*ou-name*' (加载使用“OU 名称”的更多账户)** 以查找要移动的所有账户。
在**[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面上,找到并选中要从组织中删除的成员账户的名称。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的帐户。
1. 选择 **Actions (操作)**,然后在**AWS 账户**下,选择 **Remove from organization (从组织中删除)**。
1. 在**从组织中删除账户 “*账户名*” (\$1 *account-id-num*)** 中? 对话框中,选择**删除帐户**。
1. 如果 AWS Organizations 无法删除一个或多个账户,通常是因为您没有提供该账户作为独立账户运行所需的所有信息。执行以下步骤:
1. 登录失败的账户。建议您通过选择 **Copy link (复制链接)**,然后将它粘贴在新的无痕浏览器窗口的地址栏中来登录成员账户。如果您没有看到**复制链接**,请使用[此链接](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)进入**注册 AWS** 页面,完成缺少的注册步骤。如果您未使用无痕窗口,则您已注销管理账户,并且无法导航回此对话框。
1. 此浏览器会将您转至注册过程以完成此账户缺失的任何步骤。完成显示的所有步骤。步骤可能包括:
+ 提供联系人信息
+ 提供有效的付款方式
+ 验证电话号码
+ 选择支持计划选项
1. 完成最后一个注册步骤后, AWS 会自动将浏览器重定向到成员账户的 AWS Organizations 控制台。选择 **Leave organization**,然后在确认对话框中确认您的选择。系统将您重定向到 ** 控制台的 **Getting Started AWS Organizations 页面,在其中可以查看您的账户加入其他组织的待处理邀请。
1. 从组织中删除授予访问您账户的权限的 IAM 角色。
**重要**
如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
------
#### [ AWS CLI & AWS SDKs ]
**从组织中删除成员账户**
您可以使用以下命令之一删除成员账户:
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)
```
$ aws organizations remove-account-from-organization \
--account-id 123456789012
```
如果成功,此命令不会产生任何输出。
+ AWS SDKs: [RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)
从组织中删除成员账户后,请确保从组织中删除授予您账户访问权限的 IAM 角色。
**重要**
如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
成员账户也可以使用 [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html) 来移除自己。有关更多信息,请参阅 [从成员账户中退出组织 AWS Organizations](orgs_manage_accounts_leave-as-member.md)。
------
# 从成员账户中退出组织 AWS Organizations
登录成员账户后,您可以退出组织。管理账户不能使用此方法离开组织。要移除管理账户,您必须[删除组织](orgs_manage_org_delete.md)。
## 注意事项
**组织的账户状态会影响可见的成本和使用情况数据**
无论组织成员资格如何变化,账户都可以访问过去交付给他们的所有发票以及由他们生成的所有账单数据。但是,Cost Explorer 的数据可见性与当前组织的成员资格息息相关。下表显示了三种常见的账户转换如何影响数据可见性:
****
| | 发票可用性 | 账单可用性(例如,账单页面) | Cost Explorer 可用性 |
| --- | --- | --- | --- |
| 方案 1成员账户退出组织 A,成为独立账户 | 该账户保留对交付给它的所有历史发票的访问权限。 | 该账户保留对其作为 OrganizaA 成员生成的所有历史账单数据的访问权限。 | 该账户无法访问其作为 OrganizatiA 成员生成的历史成本和使用情况数据。 |
| 方案 2成员账户离开组织 A 并加入组织 B | 该账户保留对交付给它的所有历史发票的访问权限。 | 该账户保留对其作为 OrganizaA 成员生成的所有历史账单数据的访问权限。 | 该账户无法访问其作为 OrganizatiA 成员生成的历史成本和使用情况数据。 |
| 方案三账户重新加入之前所属的组织 | 该账户保留对交付给它的所有历史发票的访问权限。 | 该账户保留对其生成的所有历史账单数据的访问权限(无论是作为独立账户还是作为其他组织成员生成)。 | 该账户可以重新访问其作为组织成员的整个时间段内的成本和使用数据,但无法访问其当前组织之外产生的所有历史成本和使用情况。 |
**该账户不再属于代表其接受的组织协议的管辖范围**
如果您离开一个组织,您将不再被该组织的管理账户代表您接受的组织协议所涵盖。您可以在 AWS Artifact 控制台的 “组织协议” 页面上查看这些[AWS Artifact 组织协议](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements)的列表。在离开组织之前,您应该在您的法律、隐私或合规性团队的协助下确定您是否有必要建立新的协议。
**账户的配额限制可能会发生变化并可能造成影响**
将组织作为成员账户退出可能会影响该账户可用的服务配额限制。如果您的自动化工作负载需要更高的限制,请在离开组织后在服务配额控制台中重新访问您的配额,以确保不间断的体验。离开组织后请联系[AWS 支持 中心](https://console.aws.amazon.com/support/home#/)寻求帮助。
## 作为成员账户退出组织
要退出组织,请完成以下过程。
**最小权限**
要退出组织,您必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要。
`organizations:LeaveOrganization` – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。
如果您以 IAM 用户身份登录并且账户缺少付款信息,则用户必须具有 `aws-portal:ModifyBilling` 和 `aws-portal:ModifyPaymentMethods` 权限(如果账户尚未迁移到精细权限)或 `payments:CreatePaymentInstrument` 和 `payments:UpdatePaymentPreferences` 权限(如果账户已迁移到精细权限)。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅《AWS Billing 用户指南》**中的[激活对账单和成本管理控制台的访问权](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)。
------
#### [ AWS 管理控制台 ]
**成员账户离开组织**
1. 在 AWS Organizations 主机上登录主[AWS Organizations 机](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户身份登录,担任 IAM 角色;或以组织成员账户中的根用户身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
默认情况下,您无权访问使用创建的成员账户中的 root 用户密码 AWS Organizations。如果需要,请按照[使用访问组织中的成员账户 AWS Organizations](orgs_manage_accounts_access.md)中**使用根用户(不建议用于日常任务)**中的步骤恢复根用户密码。
1. 在 **[Organizations 控制面板](https://console.aws.amazon.com/organizations/v2/home/dashboard)**页面上,选择**退出组织**。
1. 在**是否要退出组织?**对话框中,选择**退出组织**。当系统提示进行确认时,确认您选择删除账户。确认后,您将被重定向到 AWS Organizations 控制台的 “**入门**” 页面,您可以在其中查看您的账户加入其他组织的所有待处理邀请。
如果显示**当前无法退出组织**消息,则表示您的账户尚不具备作为独立账户运行所需的所有信息。如果是这样,请继续下一步。
1. 如果**是否要退出组织?**对话框显示**当前无法退出组织**消息,选择**完成账户注册步骤**链接。
如果您没有看到**完成账户注册步骤**链接,请使用[此链接](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)进入**注册 AWS** 页面,完成缺少的注册步骤。
1. 在**注册 AWS** 页面上,输入成为独立账户所需的所有信息。可能涉及以下类型的信息:
+ 联系人姓名和地址
+ 有效付款方式
+ 电话号码验证
+ 支持计划选项
1. 在出现一个指明注册过程已完成的对话框时,请选择 **Leave organization**。
您将看到确认对话框。确认您选择删除账户。您将被重定向到 AWS Organizations 控制台的 “**入门**” 页面,您可以在其中查看您的账户加入其他组织的所有待处理邀请。
1. 从组织中删除授予访问您账户的权限的 IAM 角色。
**重要**
如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
------
#### [ AWS CLI & AWS SDKs ]
**作为成员账户退出组织**
您可以使用以下命令之一离开组织:
+ AWS CLI:[leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)
以下示例将迫使其凭据被用于运行命令的账户退出组织。
```
$ aws organizations leave-organization
```
如果成功,此命令不会产生任何输出。
+ AWS SDKs: [LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)
在成员账户离开组织后,请确保从组织中删除授予您账户访问权限的 IAM 角色。
**重要**
如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
管理账户中的用户也可以[remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)改为使用删除成员账户。有关更多信息,请参阅 [从组织中移除成员账户](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account)。
------
# 使用更新成员账户的账户名 AWS Organizations
登录到组织的管理账户后,您可以更新成员账户的账户名称。要了解如何更新成员账户名称,请按照《*AWS 账户管理 参考指南*[》中更新组织 AWS 账户 中任何成员的账户名称](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs)中的步骤操作。
# 更新成员账户的根用户电子邮件地址 AWS Organizations
为了提高安全性和管理韧性,管理账户中的 IAM 主体(拥有必要的 IAM 权限)可以集中更新其任何成员账户的根用户电子邮件地址(也称为主电子邮件地址),而无需分别登录每个账户。这让管理账户中的管理员(或委派管理员账户)能够更好地控制其成员账户。它还可确保您的 AWS Organizations 任何成员账户中的根用户电子邮件地址 保持最新,即使您可能无法访问原始根用户电子邮件地址 或管理凭证。
当管理账户管理员集中更改根用户电子邮件地址时,密码和 MFA 配置将与更改前相同。请注意,能够控制账户根用户电子邮件地址和主要联系人电话号码的用户可以绕过 MFA。
要更新组织中成员账户的根用户电子邮件地址 ,您的组织必须事先启用[所有功能](orgs_getting-started_concepts.md#feature-set-all)模式。 AWS Organizations 在整合账单模式或不属于组织的账户中,无法集中更新其根用户电子邮件地址 。如果用户想要更改不受 API 支持的账户的根用户电子邮件地址,则应继续使用 Billing Console 来管理其根用户电子邮件地址。
有关如何更新成员账户的根用户电子邮件地址 的 step-by-step说明,请参阅*AWS 账户管理 参考指南 AWS 账户 *[中的更新组织中任何成员的根用户电子邮件](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs)。