本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 管理成員帳戶 AWS Organizations
*成員帳戶*是管理帳戶 AWS 帳戶以外的 ,屬於組織的一部分。
本主題說明如何使用 管理成員帳戶 AWS Organizations。
**Topics**
+ [成員帳戶最佳實務](orgs_best-practices_member-acct.md)
+ [建立成員帳戶](orgs_manage_accounts_create.md)
+ [存取成員帳戶](orgs_manage_accounts_access.md)
+ [關閉成員帳戶](orgs_manage_accounts_close.md)
+ [保護成員帳戶以免遭關閉](orgs_account_close_policy.md)
+ [移除成員帳戶](orgs_manage_accounts_remove.md)
+ [從成員帳戶離開組織](orgs_manage_accounts_leave-as-member.md)
+ [更新成員帳戶的帳戶名稱](orgs_manage_accounts_update_name.md)
+ [更新成員帳戶的根使用者電子郵件](orgs_manage_accounts_update_primary_email.md)
# 成員帳戶最佳實務
請遵循這些推薦,協助保護組織中成員帳戶的安全。這些推薦假設,您同時遵守[僅將根使用者用於那些真正需要它的任務的最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。
**Topics**
+ [定義帳戶名稱和屬性](#bp_member-acct_define-acct)
+ [有效率地擴展您的環境和帳戶使用情況](#bp_member-acct_efficiently-scale)
+ [啟用根存取管理,以簡化管理成員帳戶的根使用者憑證](#bp_member-acct_root-access-management)
## 定義帳戶名稱和屬性
對於您的會員帳戶,請使用反映帳戶使用情況的命名結構和電子郵件地址。例如,`Workloads+fooA+dev@domain.com` 用於 `WorkloadsFooADev`,`Workloads+fooB+dev@domain.com` 用於 `WorkloadsFooBDev`。如果您已為組織定義了自訂標籤,建議您在反映帳戶使用情況、成本中心、環境和專案的帳戶上指派這些標籤。如此可讓您更容易識別、組織和搜尋帳戶。
## 有效率地擴展您的環境和帳戶使用情況
當您擴展時,在建立新帳戶之前,請確定不存在類似需求的帳戶,以避免不必要的重複。 AWS 帳戶 應基於常見的存取需求。如果您打算重複使用這些帳戶 (例如沙盒帳戶或同等帳戶),建議您清除帳戶中不需要的資源或工作負載,但儲存帳戶以供日後使用。
關閉帳戶之前,請注意,這些帳戶必須遵守關閉帳戶配額限制。如需詳細資訊,請參閱[的配額和服務限制 AWS Organizations](orgs_reference_limits.md)。考慮實作清理過程以重複使用帳戶,而不是關閉帳戶,並在可能的情況下建立新帳戶。如此一來,您就可以避免因執行資源而產生成本,並達到 [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) 限制。
## 啟用根存取管理,以簡化管理成員帳戶的根使用者憑證
我們建議您啟用根存取管理,以協助您監控和移除成員帳戶的根使用者憑證。根存取管理可防止復原根使用者憑證,從而改善組織中的帳戶安全性。
+ 移除成員帳戶的根使用者憑證,以防止 登入根使用者。這也可防止成員帳戶復原根使用者。
+ 擔任特殊權限工作階段,在成員帳戶上執行下列任務:
+ 移除設定錯誤的儲存貯體政策,此政策拒絕所有主體存取 Amazon S3 儲存貯體。
+ 刪除拒絕所有主體存取 Amazon SQS 佇列的 Amazon Simple Queue Service 資源型政策。
+ 允許成員帳戶復原其根使用者憑證。有權存取成員帳戶根使用者電子郵件收件匣的人員可以重設根使用者密碼,並以成員帳戶根使用者身分登入。
啟用根存取管理後,新建立的成員帳戶預設是secure-by-default,沒有根使用者憑證,因此不需要額外的安全性,例如佈建後的 MFA。
如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[集中成員帳戶的根使用者憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)。
### 使用 SCP 來限制成員帳戶中根使用者可執行的動作
建議您在組織中建立服務控制政策 (SCP),並將其附加至組織的根,以便套用至所有成員帳戶。如需詳細資訊,請參閱[保護您的 Organizations 帳戶的根使用者登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations)。
您可以拒絕所有根動作,唯必須在成員帳戶中執行的特定僅限根動作除外。例如,下列 SCP 可防止任何成員帳戶中的根使用者進行任何 AWS 服務 API 呼叫,但「更新設定錯誤且拒絕存取所有主體的 S3 儲存貯體政策」(需要根憑證的其中一個動作) 除外。如需詳細資訊,請參閱 *IAM 使用者指南*中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotAction":[
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:DeleteBucketPolicy"
],
"Resource": "*",
"Condition": {
"ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
}
}
]
}
```
------
在大多數情況下,任何管理任務都可由成員帳戶中具有相關管理員許可的 AWS Identity and Access Management (IAM) 角色執行。任何此類角色均應將套用適當的控制,以限制、記錄和監控活動。
# 使用 在組織中建立成員帳戶 AWS Organizations
本主題說明如何 AWS 帳戶 在組織中建立 AWS Organizations。如需建立單一 的相關資訊 AWS 帳戶,請參閱 [入門資源中心](https://aws.amazon.com/getting-started/)。
## 建立成員帳戶之前的考量事項
**Organizations 會自動`OrganizationAccountAccessRole`為成員帳戶建立 IAM 角色**
當您在組織中建立成員帳戶時,Organizations 會自動`OrganizationAccountAccessRole`在成員帳戶中建立 IAM 角色,讓管理帳戶中的使用者和角色能夠對成員帳戶執行完整的管理控制。每當政策更新時,連接到相同受管政策的任何其他帳戶都會自動更新。這個角色會受限於套用至成員帳戶的任何[服務控制政策 (SCP)](orgs_manage_policies_scps.md)。
**Organizations 會自動`AWSServiceRoleForOrganizations`為成員帳戶建立服務連結角色**
當您在組織中建立成員帳戶時,Organizations 會自動`AWSServiceRoleForOrganizations`在成員帳戶中建立服務連結角色,以啟用與特定 AWS 服務的整合。您必須設定其他服務以允許整合。如需詳細資訊,請參閱[AWS Organizations 和服務連結角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。
**成員帳戶只能在組織的根目錄中建立**
組織中的成員帳戶只能在組織的根目錄中建立。建立組織的成員帳戶根之後,您可以在 OUs 之間移動它。如需詳細資訊,請參閱[使用 將帳戶移至組織單位 (OU) 或根帳戶和 OUs 之間 AWS Organizations](move_account_to_ou.md)。
**連接到根的政策會立即套用**
如果您有任何政策連接到根目錄,這些政策會立即套用到所建立帳戶中的所有使用者和角色。
如果您已[AWS 為組織啟用其他服務的服務信任](orgs_integrate_services_list.md),則該信任的服務可以建立服務連結角色,或在組織中的任何成員帳戶中執行動作,包括您建立的帳戶。
**成員帳戶必須選擇接收行銷電子郵件**
您作為組織一部分建立的成員帳戶不會自動訂閱 AWS 行銷電子郵件。若要選擇加入您的帳戶以接收行銷電子郵件,請參閱[https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences)。
**由 管理的組織成員帳戶 AWS Control Tower 應在 中建立 AWS Control Tower**
如果您的組織由 管理 AWS Control Tower,我們建議您使用 AWS Control Tower 主控台中的帳戶工廠或使用 AWS Control Tower APIs來建立您的成員 AWS Control Tower 帳戶。
如果您在組織受管時於 Organizations 中建立成員帳戶 AWS Control Tower,則該帳戶將不會註冊 AWS Control Tower。如需詳細資訊,請參閱*AWS Control Tower 使用者指南*中的[參照 AWS Control Tower外部資源](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources)。
## 建立成員帳戶
登入組織的管理帳戶後,您可以建立屬於組織一部分的成員帳戶。
當您使用下列程序建立帳戶時, AWS Organizations 會自動將下列**主要聯絡資訊**從管理帳戶複製到新成員帳戶:
+ 電話號碼
+ 公司名稱
+ 網站 URL
+ 地址
Organizations 也會從管理帳戶複製通訊語言和 Marketplace 資訊 (某些帳戶的供應商 AWS 區域)。
**最低許可**
若要在您的組織中建立成員帳戶,您必須擁有以下許可:
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:CreateAccount`
### AWS 管理主控台
**建立自動 AWS 帳戶 成為您組織一部分的**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上,選擇**新增 AWS 帳戶**。
1. 在**[新增 AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** 頁面上,選擇**建立 AWS 帳戶**(預設會選擇該項)。
1. 在**[建立 AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** 頁面,針對**AWS 帳戶 名稱**,輸入您要指派給帳戶的名稱。此名稱可協助您區分該帳戶與組織中的所有其他帳戶,並且與 IAM 別名或擁有者的電子郵件名稱不同。
1. 針對**帳戶擁有者的電子郵件地址**,輸入帳戶擁有者的電子郵件地址。此電子郵件地址無法與另一個電子郵件地址建立關聯, AWS 帳戶 因為它會成為帳戶的根使用者的使用者名稱登入資料。
1. (選用) 指定要在新帳戶中自動建立、要指派給 IAM 角色的名稱。此角色會授予組織的管理帳戶許可,以存取新建立的成員帳戶。如果您未指定名稱, 會將預設名稱 AWS Organizations 提供給角色`OrganizationAccountAccessRole`。建議您在所有帳戶中使用預設名稱以確保一致性。
**重要**
請記住此角色名稱。稍後您會需要它,以便為管理帳戶中的使用者和角色授予新帳戶的存取權。
1. (選用) 在 **Tags** (標籤) 區段中,透過選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至新帳戶。將值留空會將其設定為空白字串;而不是 `null`。您可以在帳戶中連接最多 50 個標籤。
1. 選擇**建立 AWS 帳戶**。
+ 如果您收到錯誤,指出您已超出組織的帳戶配額,請參閱[當我試著新增帳戶到我的組織時,出現「超過配額」訊息](orgs_troubleshoot.md#troubleshoot_general_error-adding-account)。
+ 如果您收到錯誤,指出因為您的組織仍在初始化,您無法新增帳戶,請等候一小時然後重試。
+ 您也可以檢查 AWS CloudTrail 日誌,以取得帳戶建立是否成功的相關資訊。如需詳細資訊,請參閱[在 中記錄和監控 AWS Organizations](orgs_security_incident-response.md)。
+ 如果錯誤仍存在,請聯絡 [AWS 支援](https://console.aws.amazon.com/support/home#/)。
出現 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面時,將您的新帳戶新增至清單。
1. 現在帳戶已存在,並且具有的 IAM 角色可授予管理員存取給管理帳戶中的使用者,您可以遵循 [使用 存取組織中的成員帳戶 AWS Organizations](orgs_manage_accounts_access.md) 中的步驟來存取帳戶。
### AWS CLI & AWS SDKs
下列程式碼範例示範如何使用 `CreateAccount`。
------
#### [ .NET ]
**適用於 .NET 的 SDK**
GitHub 上提供更多範例。尋找完整範例,並了解如何在 [AWS 程式碼範例儲存庫](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中設定和執行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new AWS Organizations account.
///
public class CreateAccount
{
///
/// Initializes an Organizations client object and uses it to create
/// the new account with the name specified in accountName.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var accountName = "ExampleAccount";
var email = "someone@example.com";
var request = new CreateAccountRequest
{
AccountName = accountName,
Email = email,
};
var response = await client.CreateAccountAsync(request);
var status = response.CreateAccountStatus;
Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
}
}
```
+ 如需 API 詳細資訊,請參閱《適用於 .NET 的 AWS SDK API 參考》**中的 [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)。
------
#### [ CLI ]
**AWS CLI**
**建立會自動成為組織一部分的成員帳戶**
下列範例示範如何在組織中建立成員帳戶。成員帳戶是以生產帳戶名稱和 susan@example.com 的電子郵件地址來設定。Organizations 會使用 OrganizationAccountAccessRole 的預設名稱自動建立 IAM 角色,因為未指定 roleName 參數。此外,由於未指定 IamUserAccessToBilling 參數,因此允許具有足夠許可存取帳戶帳單資料的 IAM 使用者或角色的設定會設定為預設值 ALLOW。Organizations 會自動傳送「歡迎 AWS」電子郵件給 Susan:
```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
輸出包含一個請求物件,顯示狀態現在為 `IN_PROGRESS`:
```
{
"CreateAccountStatus": {
"State": "IN_PROGRESS",
"Id": "car-examplecreateaccountrequestid111"
}
}
```
您稍後可以將 Id 回應值作為 create-account-request-id 參數的值提供給 describe-create-account-status 命令,以查詢請求的目前狀態。
如需詳細資訊,請參閱《 *AWS Organizations 使用者指南*》中的在您的組織中建立 AWS 帳戶。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)。
------
# 使用 存取組織中的成員帳戶 AWS Organizations
當您在組織中建立帳戶時,除了根使用者之外,AWS Organizations 還會自動建立名為 `OrganizationAccountAccessRole` 的 IAM 角色。您可以在建立時指定不同的名稱,但我們建議您在所有帳戶中一致地命名它。 AWS Organizations 不會建立任何其他使用者或角色。
若要存取組織中的帳戶,您必須使用以下其中一個方法:
**最低許可**
若要 AWS 帳戶 從組織中的任何其他帳戶存取 ,您必須擁有下列許可:
`sts:AssumeRole` – `Resource` 元素必須設為星號 (\$1) 或需要存取新成員帳戶之使用者帳戶的帳戶 ID
------
#### [ Using the root user (Not recommended for everyday tasks) ]
當您在組織中建立新的成員帳戶時,該帳戶預設沒有根使用者登入資料。成員帳戶無法登入其根使用者,也無法為其根使用者執行密碼復原 (除非啟用帳戶復原)。
您可以[集中成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html),以移除組織中現有成員帳戶的根使用者憑證。刪除根使用者憑證會移除根使用者密碼、存取金鑰、簽署憑證,並停用多重驗證 (MFA)。這些成員帳戶沒有根使用者憑證,無法以根使用者身分登入,而且無法復原根使用者密碼。您在 Organizations 中建立的新帳戶預設沒有根使用者憑證。
如果您需要在不存在根使用者憑證的成員帳戶上執行需要根使用者憑證的任務,請聯絡您的管理員。
若要以根使用者身分存取您的成員帳戶,您必須完成密碼復原程序。如需詳細資訊,請參閱 *AWS 登入使用者指南*中的[我忘記 的根使用者密碼 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password)。
如果您必須使用根使用者存取成員帳戶,請遵循下列最佳實務:
+ 除了建立具有更有限許可的其他使用者和角色之外,請勿使用根使用者來存取您的帳戶。然後,以這些使用者或角色身分登入。
+ 在[根使用者上啟用多重驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa)。重設密碼,並[將 MFA 裝置指派給根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)。
如需這些任務的完整清單,了解需以根使用者登入的任務,請參閱 *IAM 使用者指南*中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。如需其他根使用者安全建議,請參閱《*IAM 使用者指南*》中的 [的根使用者最佳實務 AWS 帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。
------
#### [ Using trusted access for IAM Identity Center ]
使用 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)並啟用 IAM Identity Center 的受信任存取 AWS Organizations。這可讓使用者使用其公司登入資料登入 AWS 存取入口網站,並存取其指派管理帳戶或成員帳戶中的資源。
如需詳細資訊,請參閱 *AWS IAM Identity Center 使用者指南*中的[多帳戶許可](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html)。如需設定 IAM Identity Center 的受信任存取的詳細資訊,請參閱 [AWS IAM Identity Center 而且 AWS Organizations](services-that-can-integrate-sso.md)。
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
如果您使用 提供的工具來建立帳戶 AWS Organizations,您可以使用您以此方式建立的所有新帳戶中,名為 `OrganizationAccountAccessRole` 的預先設定角色來存取帳戶。如需詳細資訊,請參閱[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。
若是邀請現有帳戶加入組織,而該帳戶也接受邀請,您可以選擇建立 IAM 角色,以允許管理帳戶存取受邀的成員帳戶。此角色與 AWS Organizations建立的帳戶中自動新增的角色完全相同。
若要建立角色,請參閱[使用 為受邀帳戶建立 OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)。
在您建立角色後,您便可以使用[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)中的步驟來存取它。
------
**Topics**
+ [建立 IAM 存取角色](orgs_manage_accounts_create-cross-account-role.md)
+ [使用 IAM 存取角色](orgs_manage_accounts_access-cross-account-role.md)
# 使用 為受邀帳戶建立 OrganizationAccountAccessRole AWS Organizations
依預設,如果您隨著組織建立成員帳戶, AWS 會自動在帳戶中建立一個角色,為管理帳戶中可以擔任該角色的 IAM 使用者授予管理員許可。在預設情況下,該角色名為 `OrganizationAccountAccessRole`。如需詳細資訊,請參閱[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。
不過,您*邀請*加入組織的成員帳戶,***不會***自動建立管理員角色。您可以手動執行此動作,如以下程序所示。這基本上會複製自動為已建立帳戶設定的角色。我們建議您為手動建立的角色使用相同的名稱 `OrganizationAccountAccessRole`,以保有一致性並方便記住。
------
#### [ AWS 管理主控台 ]
**在成員帳戶中建立 AWS Organizations 管理員角色**
1. 登入 IAM 主控台,網址為 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。您必須以 IAM 使用者的身分登入,擔任 IAM 角色,或以成員帳戶中的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。使用者或角色必須具有建立 IAM 角色和政策的許可。
1. 在 IAM 主控台中,導覽至**角色**,然後選擇**建立角色**。
1. 選擇 **AWS 帳戶**,然後選擇**另一個 AWS 帳戶**。
1. 輸入您要授予管理員存取權之管理帳戶的 12 位數帳戶 ID 號碼。在**選項**下,請注意下列事項:
+ 針對此角色,因為帳戶是公司內部帳戶,您**不**應該選擇 **Require external ID** (需要外部 ID)。如需外部 ID 選項的詳細資訊,請參閱《*IAM 使用者指南*》中的[我應該何時使用外部 ID?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use)。
+ 如果您已啟用和設定 MFA 身分驗證,您可以選擇性地要求使用 MFA 裝置進行身分驗證。如需 MFA 的詳細資訊,請參閱《*IAM 使用者指南*》中的[在 中使用多重要素驗證 (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
1. 選擇**下一步**。
1. 在**新增許可**頁面上,選擇名為 的 AWS 受管政策,`AdministratorAccess`然後選擇**下一步**。
1. 在**名稱、檢閱和建立**頁面上,指定角色名稱和選用描述。為求與新帳戶中指派給角色的預設名稱一致,建議您使用 `OrganizationAccountAccessRole`。若要遞交您的變更,請選擇 **Create role (建立角色)**。
1. 您的新角色會顯示在可用的角色清單中。選擇新角色的名稱來檢視其詳細資訊,特別注意提供的連結 URL。將此 URL 提供給成員帳戶中,需要存取角色的使用者。此外,請記下 **Role ARN (角色 ARN)**,因為您在步驟 15 中將需要它。
1. 登入 IAM 主控台,網址為 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。這時,以管理帳戶中擁有許可能建立政策和將政策指派給使用者或群組的使用者身分登入。
1. 導覽至**政策**,然後選擇**建立政策**。
1. 針對 **Service (服務)**,選擇 **STS**。
1. 針對**動作**,首先在**篩選條件**方塊中輸入 **AssumeRole**,然後在出現時選中旁邊的核取方塊。
1. 在**資源**下,確定已選取**特定**,然後選擇**新增 ARNs**。
1. 輸入 AWS 成員帳戶 ID 號碼,然後輸入您先前在步驟 1–8 中建立的角色名稱。選擇**新增 ARN**。
1. 如果您要授予許可以擔任多個成員帳戶中的角色,請對每個帳戶重複步驟 14 和 15。
1. 選擇**下一步**。
1. 在**檢閱和建立**頁面上,輸入新政策的名稱,然後選擇**建立政策**以儲存變更。
1. 在導覽窗格中選擇**使用者群組**,然後選擇您要用來委派成員帳戶管理的群組名稱 (而非核取方塊)。
1. 選擇**許可**索引標籤。
1. 選擇**新增許可**,選擇**連接政策**,然後選擇您在步驟 11–18 中建立的政策。
------
所選取群組成員的使用者現在可以使用您在步驟 9 中擷取的 URL 來存取每個成員帳戶的角色。他們可以透過您在組織中所建立帳戶的相同方式存取這些成員帳戶。如需使用角色來管理成員帳戶詳細資訊,請參閱[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。
# 使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations
當您使用 AWS Organizations 主控台建立成員帳戶時, AWS Organizations *會自動*`OrganizationAccountAccessRole`在帳戶中建立名為 的 IAM 角色。此角色擁有成員帳戶內的完整管理許可。此角色的存取範圍包括管理帳戶中的所有主體,因此該角色設定為授予對該組織管理帳戶的存取權。
您可以遵循 [使用 為受邀帳戶建立 OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)中的步驟,為獲邀請成員帳戶建立完全相同的角色。
若要使用此角色來存取成員帳戶,您必須以管理帳戶帳戶中擁有擔任此角色許可的使用者身分登入。若要設定這些許可,請執行下列程序。我們建議您將許可授予群組,而不是使用者,以方便維護。
------
#### [ AWS 管理主控台 ]
**授予管理帳戶中 IAM 群組成員的許可以存取角色**
1. 登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)),以管理帳戶中擁有管理員許可的使用者身分。需要此項,才能將許可委派給其使用者將存取成員帳戶中角色的 IAM 群組。
1. 透過建立您稍後在[Step 14](#step-choose-group) 中需要的受管理政策來開始。
在導覽窗格中,選擇 **Policies (政策)**,然後選擇 **Create policy (建立政策)**。
1. 在視覺化編輯器索引標籤上,選擇**選擇服務**,**STS**在搜尋方塊中輸入 以篩選清單,然後選擇 **STS** 選項。
1. 在**動作**區段**assume**中,在搜尋方塊中輸入 以篩選清單,然後選擇 **AssumeRole** 選項。
1. 在**資源**區段中,選擇**特定**,選擇**新增 ARNs**
1. 在**指定 ARN (s)** 區段中,為資源選擇**其他帳戶**。
1. 輸入您剛建立的成員帳戶的 ID
1. 對於**具有路徑的資源角色名稱**,輸入您在上一節中建立的角色名稱 (建議將其命名為 `OrganizationAccountAccessRole`)。
1. 當對話方塊顯示正確的 ** ARNs 時,選擇新增** ARN。
1. (選擇性) 如果您想要要求多重因素認證 (Multi-Factor Authentication,MFA),或限制來自指定 IP 地址範圍的角色存取,請展開「請求條件」區段,然後選取您要強制執行的選項。
1. 選擇**下一步**。
1. 在**檢閱和建立**頁面上,輸入新政策的名稱。例如:**GrantAccessToOrganizationAccountAccessRole**。您也可以加入選用說明。
1. 選擇 **Create policy (建立政策)** 以儲存您的新受管政策。
1. 現在有了可用的政策,您就可以將其連接到群組。
在導覽窗格中,選擇**使用者群組**,然後選擇您要在成員帳戶中擔任該角色之成員的群組名稱 (而非核取方塊)。如果需要,您可以建立新群組。
1. 選擇 **許可** 標籤、選擇 **新增許可**,然後選擇 **連接政策**。
1. (選擇性) 在 **Search (搜尋)** 方塊中,您可以開始輸入政策名稱以篩選清單,直到您可以看到剛剛在[Step 2](#step-create-policy) 到[Step 13](#step-end-policy) 建立的政策名稱為止。您也可以選擇所有**類型**,然後選擇客戶 AWS 受管,篩選掉所有受管政策。 ****
1. 勾選政策旁的方塊,然後選擇**連接政策**。
------
屬於 群組成員的 IAM 使用者現在具有在 AWS Organizations 主控台中使用下列程序切換到新角色的許可。
------
#### [ AWS 管理主控台 ]
**切換到成員帳戶的角色**
使用角色時,使用者擁有新成員帳戶中的管理員許可。指示身為群組成員的 IAM 使用者,執行下列動作切換到新的角色。
1. 從 AWS Organizations 主控台的右上角,選擇包含您目前登入名稱的連結,然後選擇**切換角色**。
1. 輸入管理員提供的帳戶 ID 號碼和角色名稱。
1. 對於 **Display Name (顯示名稱)**,輸入您要在右上角導覽列中顯示的文字,以在您使用該角色時取代您的使用者名稱。您可以選擇性地選擇顏色。
1. 選擇 **Switch Role** (切換角色)。現在您執行的所有動作,都是使用授予您切換目標角色的許可所完成。在您切換回去之前,您將不再擁有與原始 IAM 使用者建立關聯的許可。
1. 在您完成需要角色許可的執行動作後,您便可以切換回您的一般 IAM 使用者。在右上角 (任何您指定為 **Display Name (顯示名稱)** 的項目) 選擇角色名稱,然後選擇 **Back to *UserName* (切換回 UserName)**。
------
# 使用 關閉組織中的成員帳戶 AWS Organizations
如果您不再需要組織中的成員帳戶,您可以按照本主題中的指示,從[AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)將其關閉。如果您的組織處於[所有功能](orgs_getting-started_concepts.md#feature-set-all)模式,您只能使用 AWS Organizations 主控台關閉成員帳戶。
您也可以在以根使用者身分登入 AWS 管理主控台 後 AWS 帳戶 ,直接從 中的[**帳戶**頁面](https://console.aws.amazon.com/billing/home#/account)關閉 。如需step-by-step說明,請參閱《 *AWS 帳戶管理指南*》中的[關閉 AWS 帳戶](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) 。
若要關閉管理帳戶,請參閱 [關閉組織中的管理帳戶](orgs_manage_accounts_close_management.md)。
## 關閉成員帳戶
登入組織的管理帳戶時,您可以關閉屬於組織一部分的成員帳戶。若要執行此動作,請執行下列步驟。
**重要**
在關閉您的成員帳戶之前,強烈建議您檢閱考量事項,並了解關閉帳戶的影響。如需詳細資訊,請參閱 [帳戶管理指南中的關閉帳戶前須知](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations)事項和[關閉帳戶後須知事項](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure)。 *AWS *
------
#### [ AWS Management Console ]
**從 AWS Organizations 主控台關閉成員帳戶**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者身分登入,或以組織的管理帳戶中的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上,尋找並選擇您要關閉的成員帳戶名稱。您可以導覽 OU 階層,或查看沒有 OU 結構的帳戶平面清單。
1. 選擇頁面頂端帳戶名稱旁的 **Close** (關閉)。只有在組織處於[所有功能](orgs_getting-started_concepts.md#feature-set-all)模式時, AWS 才能使用此選項。
**注意**
如果您的組織使用[合併帳單](orgs_getting-started_concepts.md#feature-set-cb-only)模式,您將無法在主控台中看到**關閉**按鈕。若要以合併帳單模式關閉帳戶,請登入您要以根使用者身分關閉的帳戶。在**帳戶**頁面上,選擇**關閉帳戶**按鈕,輸入您的帳戶 ID,然後選擇**關閉帳戶**按鈕。
1. 閱讀並確保您了解帳戶關閉指引。
1. 輸入成員帳戶 ID,然後選擇**關閉帳戶**。
**注意**
您關閉的任何成員帳戶都會在 AWS Organizations 主控台中在其帳戶名稱旁顯示`CLOSED`標籤,最長可達原始關閉日期後 90 天。90 天後,成員帳戶將永久關閉,且不會再顯示在 AWS Organizations 主控台中。請注意,永久關閉後,帳戶可能需要幾天的時間才能從組織中移除。
**從帳戶頁面關閉成員帳戶**
或者,您也可以直接從 中的帳戶頁面關閉 AWS 成員**帳戶** AWS 管理主控台。如需step-by-step指引,請遵循*AWS 帳戶管理指南*中[關閉 AWS 帳戶](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) 中的指示。
------
#### [ AWS CLI & AWS SDKs ]
**關閉 AWS 帳戶**
您可以使用下列其中一項命令來關閉 AWS 帳戶:
+ AWS CLI:[close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)。
```
$ aws organizations close-account \
--account-id 123456789012
```
此命令成功後就不會產生輸出。
+ AWS SDKs:[CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)
------
# 使用 保護成員帳戶免於關閉 AWS Organizations
為了保護成員帳戶免於意外關閉,請建立 IAM 政策來指定哪些帳戶可豁免。此政策可防止關閉受保護的成員帳戶。
建立 IAM 政策以拒絕使用下列其中一種方法關閉帳戶:
+ 使用政策的 ARNs 明確列出政策`Resource`元素中的受保護帳戶。
+ 標記個別帳戶並使用`aws:ResourceTag`全域條件金鑰,以防止關閉已標記的帳戶。
**注意**
服務控制政策 SCPs) 不會影響管理帳戶中的 IAM 主體。
## 防止關閉成員帳戶的範例 IAM 政策
下列程式碼範例顯示兩種不同的方法來限制成員帳戶關閉其帳戶。
------
#### [ Prevent member accounts with tags from getting closed ]
您可以將以下政策連接至管理帳戶中的身分。此政策可防止管理帳戶中的主體關閉任何加上 `aws:ResourceTag` 標籤全域條件金鑰、`AccountType` 索引鍵和 `Critical` 標籤值的成員帳戶。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccountForTaggedAccts",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
}
}
]
}
```
------
#### [ Prevent member accounts listed in this policy from getting closed ]
您可以將以下政策連接至管理帳戶中的身分。此政策可防止管理帳戶中的主體關閉 `Resource` 元素中明確指定的成員帳戶。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccount",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": [
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
]
}
]
}
```
------
# 使用 從組織移除成員帳戶 AWS Organizations
移除成員帳戶並不會關閉帳戶,而是會從組織移除成員帳戶。前成員帳戶會成為 AWS 帳戶 不再由 管理的獨立帳戶 AWS Organizations。
之後,該帳戶不再受任何政策的約束,並負責自己的帳單支付。從組織移除帳戶後,該組織的管理帳戶不會再針對該帳戶所累積的任何費用收費。
## 考量事項
**管理帳戶建立的 IAM 存取角色不會自動刪除**
當您從組織中移除成員帳戶時,不會自動刪除為啟用組織管理帳戶存取權而建立的任何 IAM 角色。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 *IAM 使用者指南*中的[刪除角色或執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
**只有在帳戶具有以獨立帳戶運作所需的資訊時,您才能從組織移除帳戶**
只有在帳戶具有讓它以獨立帳戶形式運作所需的資訊時,您才能從組織移除帳戶。當您使用 AWS Organizations 主控台、API 或 AWS CLI 命令在組織中建立帳戶時,*不會*自動收集獨立帳戶所需的所有資訊。
對於您要獨立建立的每個帳戶,您必須選擇支援計畫、提供和驗證所需的聯絡資訊,並提供目前的付款方式。 AWS 會使用 付款方式來收取帳戶未連接到組織時發生的任何計費 (非 AWS 免費方案) AWS 活動的費用。若要移除尚未取得此資訊的帳戶,請依照 [使用 從成員帳戶離開組織 AWS Organizations](orgs_manage_accounts_leave-as-member.md) 中的步驟執行。
**您必須等到帳戶建立後至少四天**
若要移除您在組織中建立的帳戶,您必須等到帳戶建立後至少四天。受邀的帳戶不受此等待期限的限制。
**離開的帳戶擁有者會負責所有累積的新成本**
帳戶成功離開組織時, 的擁有者 AWS 帳戶 會負責所有累積的新 AWS 成本,並使用帳戶的付款方式。組織的管理帳戶不再負責。
**該帳戶不能是為組織啟用的任何 AWS 服務的委派管理員帳戶**
您要移除的帳戶不得是為組織啟用的任何 AWS 服務的委派管理員帳戶。如果帳戶是委派的系統管理員,您必須先將委派的管理員帳戶變更為組織中剩餘的另一個帳戶。如需如何停用或變更 AWS 服務的委派管理員帳戶的詳細資訊,請參閱該服務的文件。
**帳戶不再有權存取成本和用量資料**
當成員帳戶離開組織時,該帳戶就不再能夠帳戶存取作為組織成員期間的成本和使用狀況資料。不過,組織的管理帳戶仍然可以存取資料。如果帳戶重新加入組織,帳戶便能再次存取資料。
**會刪除連接至帳戶的標籤**
當成員帳戶離開組織時,會刪除連接至該帳戶的所有標籤。
**帳戶中的委託人不再受到任何組織政策的影響**
帳戶中的委託人不再受組織中套用的任何[政策](orgs_manage_policies.md)的影響。這表示 SCP 實施的限制將不再有效,而帳戶中的使用者和角色可能會較以前具有更多的許可。其他組織政策類型無法再強制執行或處理。
**組織協議不再涵蓋該帳戶**
如果成員帳戶被從組織中移除,該成員帳戶即不再涵蓋於組織協議中。管理帳戶管理員應在從組織移除成員帳戶之前,與成員帳戶溝通此事,以便在必要時成員帳戶可以簽訂新的協議。您可以在 Organization Agreements 頁面的 AWS Artifact 主控台中檢視作用中組織協議的清單。 [AWS Artifact](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements)
**可能會停用與其他 服務的整合**
與其他服務的整合可能會停用。如果您從 AWS 已啟用與服務整合的組織中移除帳戶,則該帳戶中的使用者將無法再使用該服務。
## 從組織移除成員帳戶
登入組織的管理帳戶時,您可以從組織移除您不再需要的成員帳戶。若要這麼做,請執行下列作業:此程序僅適用於成員帳戶。若要移除管理帳戶,您必須[刪除組織](orgs_manage_org_delete.md)。
**最低許可**
若要從組織中移除一個或多個成員帳戶,您必須以管理帳戶中具有以下許可的使用者或角色身分登入:
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:RemoveAccountFromOrganization`
如果您在步驟 5 中選擇以成員帳戶中的使用者或角色的身分登入,則該使用者或角色必須擁有以下許可:
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:LeaveOrganization` – 請注意,組織管理員可以套用會移除此許可的政策到您的帳戶,以防止您從您的組織移除帳戶。
如果您以 IAM 使用者的身分登入,而且帳戶缺少付款資訊,則使用者必須擁有 `aws-portal:ModifyBilling` 和 `aws-portal:ModifyPaymentMethods` 許可 (若該帳戶尚未遷移至精細許可) 或 `payments:CreatePaymentInstrument` 和 `payments:UpdatePaymentPreferences` 許可 (若該帳戶已遷移至精細許可)。此外,成員帳戶必須已啟用 IAM 使用者對帳單的存取權。如果尚未啟用,請參閱*AWS Billing 使用者指南*中的[啟用帳單和成本管理主控台的存取權](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)。
------
#### [ AWS 管理主控台 ]
**從組織移除成員帳戶**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上,尋找並選擇您要從您的組織移除的每個成員帳戶旁白的核取方塊 ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/checkbox-selected.png)。您可以導覽 OU 階層,或** AWS 帳戶 僅啟用檢視**,以查看沒有 OU 結構的帳戶一般清單。如果您有許多帳戶,您可能需要在清單底部選擇**載入更多採用 '*ou-name*' 的帳戶**,以尋找您想要移動的所有內容。
在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上,尋找並選擇您要從您的組織移除的成員帳戶的名稱。您可能需要展開 OU (選擇 ![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/console-expand.png)),以尋找您想要的帳戶。
1. 選擇 **Actions** (動作),然後在 **AWS 帳戶** 下,選擇 **Remove from organization** (從組織中移除)。
1. 在 **Remove account '*account-name*' (\$1*account-id-num*) from organization?** (從組織中移除帳戶 'account-name' (\$1account-id-num)) 對話方塊中,選擇 **Remove account** (移除帳戶)。
1. 如果 AWS Organizations 無法移除一或多個帳戶,通常是因為您尚未提供帳戶作為獨立帳戶運作所需的所有資訊。執行以下步驟:
1. 登入失敗的帳戶。我們建議您透過選擇 **Copy link** (複製連結),然後將連結貼到新無痕瀏覽器視窗的網址列來登入成員帳戶。如果您沒有看到**複製連結**,請使用[此連結](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)前往**註冊 AWS**頁面並完成缺少的註冊步驟。如果您不使用無痕視窗,系統會將您從管理帳戶登出,並且將無法瀏覽回此對話方塊。
1. 您的瀏覽器會帶領您直接前往註冊程序,以完成此帳戶遺漏的任何步驟。完成提示的所有步驟。它們可能包含下列項目:
+ 提供聯絡資訊
+ 提供有效的付款方法
+ 驗證電話號碼
+ 選取支援計劃選項
1. 完成最後一個註冊步驟後, AWS 會自動將您的瀏覽器重新導向至成員帳戶的 AWS Organizations 主控台。選擇 **Leave organization (離開組織)**,然後在確認對話方塊中確認您的選擇。系統會將您重新導向至 AWS Organizations 主控台的**入門**頁面,您可以在其中檢視任何擱置邀請,以便帳戶加入其他組織的。
1. 從組織移除授予帳戶存取權的 IAM 角色。
**重要**
如果您的帳戶是在組織中建立的,則 Organizations 會自動在帳戶中建立 IAM 角色,使組織的管理帳戶具有存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除此 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 *IAM 使用者指南*中的[刪除角色或執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
------
#### [ AWS CLI & AWS SDKs ]
**從組織移除成員帳戶**
您可以使用下列其中一項命令來移除成員帳戶:
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)
```
$ aws organizations remove-account-from-organization \
--account-id 123456789012
```
此命令成功後就不會產生輸出。
+ AWS SDKs:[RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)
從組織移除帳戶之後,請確保從組織移除授予此帳戶存取權的 IAM 角色。
**重要**
如果您的帳戶是在組織中建立的,則 Organizations 會自動在帳戶中建立 IAM 角色,使組織的管理帳戶具有存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除此 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 *IAM 使用者指南*中的[刪除角色或執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
會員帳戶可以使用 [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html) 來移除自己。如需詳細資訊,請參閱[使用 從成員帳戶離開組織 AWS Organizations](orgs_manage_accounts_leave-as-member.md)。
------
# 使用 從成員帳戶離開組織 AWS Organizations
登入成員帳戶時,您可以離開組織。管理帳戶無法使用此技術來離開組織。若要移除管理帳戶,您必須[刪除組織](orgs_manage_org_delete.md)。
## 考量事項
**組織帳戶的狀態會影響可看見的成本和用量資料**
無論組織成員資格變更為何,帳戶都會維持對交付給他們的所有過去發票及其產生的所有帳單資料的存取權。不過,Cost Explorer 資料可見性與目前的組織成員資格相關聯。下表顯示三個常見的帳戶轉換如何影響資料可見性:
****
| | 發票可用性 | 帳單可用性 (例如帳單頁面) | Cost Explorer 可用性 |
| --- | --- | --- | --- |
| 案例 1成員帳戶離開 organizationA 並成為獨立帳戶 | 帳戶會維護交付給該帳戶的所有歷史發票的存取權。 | 帳戶會維護其以 organizationA 成員身分產生的所有歷史帳單資料的存取權。 | 帳戶會失去以 organizationA 成員身分產生的歷史成本和用量資料的存取權。 |
| 案例 2成員帳戶離開 organizationA 並加入 organizationB | 帳戶會維護交付給該帳戶的所有歷史發票的存取權。 | 帳戶會維護其以 organizationA 成員身分產生的所有歷史帳單資料的存取權。 | 帳戶會失去以 organizationA 成員身分產生的歷史成本和用量資料的存取權。 |
| 案例 3帳戶重新加入先前所屬的組織 | 帳戶會維護交付給該帳戶的所有歷史發票的存取權。 | 帳戶會維護其產生的所有歷史帳單資料的存取權 (無論以獨立帳戶或其他組織的成員身分產生)。 | 帳戶會在成為組織成員的完整期間內重新取得成本和用量資料的存取權,但無法存取目前組織之外產生的所有歷史成本和用量。 |
**該帳戶不再由代表其接受的組織協議涵蓋**
如果您離開某個組織,您將不再受到組織的管理帳戶代表您接受的組織協議的涵蓋。您可以在 Organization Agreements 頁面的 AWS Artifact 主控台中檢視這些[AWS Artifact 組織協議](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements)的清單。離開組織之前,您應該判斷 (適當時,在您的法律、隱私權或合規團隊的協助下) 是否有必要設立新的協議。
**帳戶的配額限制可能會變更,並可能導致影響**
將組織保留為成員帳戶可能會影響該帳戶可用的服務配額限制。如果您的自動化工作負載需要更高的限制,請在離開組織後重新檢視服務配額主控台中的配額,以確保不間斷的體驗。離開組織後請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)尋求協助。
## 從成員帳戶離開組織
若要離開組織,請完成下列程序。
**最低許可**
若要離開 組織,您必須擁有以下許可:
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:LeaveOrganization` – 請注意,組織管理員可以套用會移除此許可的政策到您的帳戶,以防止您從您的組織移除帳戶。
如果您以 IAM 使用者的身分登入,而且帳戶缺少付款資訊,則使用者必須擁有 `aws-portal:ModifyBilling` 和 `aws-portal:ModifyPaymentMethods` 許可 (若該帳戶尚未遷移至精細許可) 或 `payments:CreatePaymentInstrument` 和 `payments:UpdatePaymentPreferences` 許可 (若該帳戶已遷移至精細許可)。此外,成員帳戶必須已啟用 IAM 使用者對帳單的存取權。如果尚未啟用,請參閱*AWS Billing 使用者指南*中的[啟用帳單和成本管理主控台的存取權](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)。
------
#### [ AWS 管理主控台 ]
**若要從成員帳戶離開組織**
1. 在 AWS Organizations 主控台登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者的身分登入,擔任 IAM 角色,或以成員帳戶中的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
根據預設,您無法存取使用 建立之成員帳戶中的根使用者密碼 AWS Organizations。如有需要,請依照 中的**使用根使用者 (不建議用於日常任務) 中的步驟來復原根使用者**密碼[使用 存取組織中的成員帳戶 AWS Organizations](orgs_manage_accounts_access.md)。
1. 在**[組織儀表板](https://console.aws.amazon.com/organizations/v2/home/dashboard)**頁面上,選擇**離開此組織**。
1. 在**確認離開組織?**對話方塊中,選擇**離開組織**。收到提示時,確認選擇移除帳戶。確認之後,系統會將您重新導向至 AWS Organizations 主控台的**入門**頁面,您可以在其中檢視帳戶加入其他組織的任何待處理邀請。
如果顯示**您目前無法離開組織**訊息,表示您的帳戶沒有以獨立帳戶運作所需的完整資訊。如果是這種情況,請繼續下一個步驟。
1. 如果**確認離開組織?**對話方塊顯示**您目前無法離開組織**訊息,請選擇**完成帳戶註冊步驟**連結。
如果您沒有看到**完成帳戶註冊步驟**連結,請使用[此連結](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)前往**註冊 AWS**頁面完成缺少的註冊步驟。
1. 在**註冊 AWS** 頁面上,輸入成為獨立帳戶所需的所有必要資訊。可能包括以下資訊類型:
+ 聯絡人姓名及地址
+ 有效的付款方式
+ 電話號碼驗證
+ 支援計劃選項
1. 看到說明註冊程序完成的對話方塊時,請選擇 **Leave organization (離開組織)**。
出現確認對話方塊。確認選擇移除帳戶。系統會將您重新導向至 AWS Organizations 主控台**的入門**頁面,您可以在其中檢視帳戶加入其他組織的任何待處理邀請。
1. 從組織移除授予帳戶存取權的 IAM 角色。
**重要**
如果您的帳戶是在組織中建立的,則 Organizations 會自動在帳戶中建立 IAM 角色,使組織的管理帳戶具有存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除此 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 *IAM 使用者指南*中的[刪除角色或執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
------
#### [ AWS CLI & AWS SDKs ]
**以成員帳戶的身分離開組織**
您可以使用下列其中一項命令來離開組織:
+ AWS CLI: [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)
下列範例會造成使用其憑證執行命令的帳戶離開組織。
```
$ aws organizations leave-organization
```
此命令成功後就不會產生輸出。
+ AWS SDKs:[LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)
成員帳戶離開組織後,請確保從組織移除授予此帳戶存取權的 IAM 角色。
**重要**
如果您的帳戶是在組織中建立的,則 Organizations 會自動在帳戶中建立 IAM 角色,使組織的管理帳戶具有存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除此 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 *IAM 使用者指南*中的[刪除角色或執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
管理帳戶中的使用者也可以改用 [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html) 來移除成員帳戶。如需詳細資訊,請參閱[從組織移除成員帳戶](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account)。
------
# 使用 更新成員帳戶的帳戶名稱 AWS Organizations
當您登入組織的管理帳戶時,您可以更新成員帳戶的帳戶名稱。若要了解如何更新成員帳戶名稱,請遵循《 *AWS 帳戶管理 參考指南*》[AWS 帳戶 中更新組織中任何 的帳戶名稱](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs)中的步驟。
# 使用 更新成員帳戶的根使用者電子郵件地址 AWS Organizations
為了提高安全性和管理彈性,管理帳戶中的 IAM 主體 (具有必要的 IAM 許可) 可以集中更新其任何成員帳戶的根使用者電子郵件地址 (也稱為主要電子郵件地址),而無需個別登入每個帳戶。這可讓管理帳戶中的管理員 (或委派管理員帳戶中的管理員) 對其成員帳戶有更多控制權。它還確保來自 中任何成員帳戶的根使用者電子郵件地址 AWS Organizations 可以保持最新狀態,即使您可能無法存取原始根使用者電子郵件地址或管理登入資料。
當根使用者電子郵件地址由管理帳戶管理員集中變更時,密碼和 MFA 組態將保持不變。請注意,控制帳戶的根使用者電子郵件地址和主要聯絡人電話號碼的使用者可以略過 MFA。
若要更新組織中成員帳戶的根使用者電子郵件地址,您的組織先前必須啟用[所有功能](orgs_getting-started_concepts.md#feature-set-all)模式。在合併帳單模式或非組織一部分的帳戶 AWS Organizations 中, 無法集中更新其根使用者電子郵件地址。想要變更 API 不支援之帳戶的根使用者電子郵件地址的使用者,應該繼續使用帳單主控台來管理其根使用者電子郵件地址。
如需如何更新成員帳戶根使用者電子郵件地址step-by-step說明,請參閱《 *AWS 帳戶管理 參考指南*》[AWS 帳戶 中的為組織中的任何 更新根使用者電子郵件](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs)。