本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 管理組織中的帳戶 AWS Organizations
*AWS 帳戶* 是 AWS 資源的容器。您可以在 中建立和管理 AWS 資源 AWS 帳戶。
本主題說明如何管理 的帳戶 AWS Organizations。
**Topics**
+ [管理帳戶](orgs-manage_accounts_management.md)
+ [成員帳戶](orgs-manage_accounts_members.md)
+ [帳戶邀請](orgs_manage_accounts_invites.md)
+ [遷移 帳戶](orgs_account_migration.md)
+ [檢視 帳戶的詳細資訊](orgs_view_account.md)
+ [匯出帳戶詳細資訊](orgs_manage_accounts_export.md)
+ [監控帳戶狀態](orgs_manage_accounts_account_state.md)
+ [更新帳戶的替代聯絡人](orgs_manage_accounts_update_contacts.md)
+ [更新 帳戶的主要聯絡人](orgs_manage_accounts_update_contacts_primary.md)
+ [AWS 區域 帳戶的更新](orgs_manage_accounts_update_enabled_regions.md)
# 使用 管理管理帳戶 AWS Organizations
*管理帳戶*是您 AWS 帳戶 用來建立組織的 。
管理帳戶是組織的最終擁有者,擁有安全、基礎設施和財務政策的最終控制權。此帳戶具有付款人帳戶的角色,並負責支付其組織中帳戶產生的所有費用。
本主題說明如何使用 管理 管理帳戶 AWS Organizations。
**Topics**
+ [管理帳戶的最佳實務](orgs_best-practices_mgmt-acct.md)
+ [關閉管理帳戶](orgs_manage_accounts_close_management.md)
# 管理帳戶的最佳實務
請遵循這些推薦,協助保護 AWS Organizations中管理帳戶的安全。這些推薦假設,您同時遵守[僅將根使用者用於那些真正需要它的任務的最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。
**Topics**
+ [限制有權存取管理帳戶的使用者](#bp_mgmt-acct_limit-access)
+ [審查並追蹤誰擁有存取權](#bp_mgmt-acct_review-access)
+ [管理帳戶僅用於***需要***管理帳戶的任務](#bp_mgmt-acct_use-mgmt)
+ [避免將工作負載部署到組織的管理帳戶](#bp_mgmt-acct_avoid-deploying)
+ [委派管理帳戶以外的職責來進行去集中化](#bp_mgmt-acct_)
## 限制有權存取管理帳戶的使用者
管理帳戶是所有上述管理任務的關鍵,例如帳戶管理、政策、與其他 AWS 服務的整合、合併帳單等。因此,您應該限制管理帳戶的存取權,並將此存取權侷限在需要權限來對組織進行變更的管理員使用者。
## 審查並追蹤誰擁有存取權
為確保您仍擁有管理帳戶的存取權,請定期檢閱您企業內有權存取與其關聯之電子郵件地址、密碼、MFA 和電話號碼的人員。將您的審查與現有的商業程序保持一致。為了確保只有正確的使用者才能存取,請新增此資訊的每月或每季審查。請確定,復原或重設根使用者憑證存取權的程序不依賴於任何特定個人來完成。所有程序都應解決人們無法使用的預期。
## 管理帳戶僅用於***需要***管理帳戶的任務
我們建議您僅將該管理帳戶及其使用者和角色用於必須僅由該帳戶執行的任務。將您的所有 AWS 資源存放在組織中的其他 AWS 帳戶 中,並將其保存在管理帳戶中。將資源保存在其他帳戶的一個重要原因是,因為 Organizations 服務控制政策 (SCP) 無法限制管理帳戶中的任何使用者或角色。將資源與管理帳戶分開,也會協助您瞭解發票上的費用。
如需必須從管理帳戶呼叫的任務清單,請參閱[只能從組織的管理帳戶呼叫的操作。 ](https://docs.aws.amazon.com/organizations/latest/APIReference/action-reference.html#actions-management-account)
## 避免將工作負載部署到組織的管理帳戶
獲得授權的作業可以在組織的管理帳戶內執行,SCP 不適用於管理帳戶。這就是為什麼您應該將管理帳戶中包含的雲端資源和資料限制為只能在管理帳戶中管理的資源和資料。
## 委派管理帳戶以外的職責來進行去集中化
如果可能的話,我們建議在管理帳戶之外委派職責和服務。為您的團隊提供自己帳戶中的權限,以便管理組織的需求,而無需存取管理帳戶。此外,您可以為支援此功能的服務註冊多個委派管理員,例如 AWS Service Catalog 用於跨組織共用軟體,或用於撰寫和部署堆疊的 CloudFormation StackSets。
如需詳細資訊,請參閱[安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)、[使用多個帳戶組織您的 AWS 環境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html),以及將成員帳戶註冊為各種 AWS 服務的委派管理員[AWS 服務 您可以搭配 使用 AWS Organizations](orgs_integrate_services_list.md)的建議。
如需設定委派管理員的詳細資訊,請參閱[為 AWS 帳戶管理啟用委派的管理員帳戶](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs-delegated-admin.html)和 [的委派管理員 AWS Organizations](orgs_delegate_policies.md)。
# 關閉組織中的管理帳戶
若要關閉組織中的管理帳戶,您必須先[關閉](orgs_manage_accounts_close.md)或[移除](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account)組織中的所有成員帳戶。關閉管理帳戶的行為也會刪除 的執行個體, AWS Organizations 以及您在[關閉後期間](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period)到期後在該組織內建立的任何政策。
## 關閉管理帳戶
使用下列程序來關閉管理帳戶。
**重要**
在關閉管理帳戶之前,強烈建議您檢閱考量事項,並了解關閉帳戶的影響。如需詳細資訊,請參閱 [帳戶管理指南中的關閉帳戶前須知](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations)事項和[關閉帳戶後須知事項](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure)。 *AWS *
------
#### [ AWS Management Console ]
**從帳戶頁面關閉管理帳戶**
**注意**
您無法直接從 AWS Organizations 主控台關閉管理帳戶。
1. 以您要關閉之管理帳戶的[根使用者 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。以 IAM 使用者或角色身分登入時,您無法關閉帳戶。
1. 確認您的組織中沒有剩餘的作用中成員帳戶。若要這樣做,請前往 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations)。如果您的成員帳戶仍在作用中,您將需要遵循 [使用 關閉組織中的成員帳戶 AWS Organizations](orgs_manage_accounts_close.md)或 中提供的指引[從組織移除成員帳戶](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account),才能移至下一個步驟。
1. 在右上角的導覽列上,選擇您的帳戶名稱或號碼,然後選擇**帳戶**。
1. 在[**帳戶**頁面上](https://console.aws.amazon.com/billing/home#/account),選擇**關閉帳戶**按鈕。閱讀並確保您了解帳戶關閉指引。
1. 選擇**關閉帳戶**按鈕以啟動帳戶關閉程序。
1. 您應該會在幾分鐘內收到電子郵件確認,指出您的帳戶已關閉。
------
#### [ AWS CLI & AWS SDKs ]
中 AWS CLI 或其中一個 AWS SDKs API 操作不支援此任務。您只能使用 來執行此任務 AWS 管理主控台。
------
# 使用 管理成員帳戶 AWS Organizations
*成員帳戶*是管理帳戶 AWS 帳戶以外的 ,屬於組織的一部分。
本主題說明如何使用 管理成員帳戶 AWS Organizations。
**Topics**
+ [成員帳戶最佳實務](orgs_best-practices_member-acct.md)
+ [建立成員帳戶](orgs_manage_accounts_create.md)
+ [存取成員帳戶](orgs_manage_accounts_access.md)
+ [關閉成員帳戶](orgs_manage_accounts_close.md)
+ [保護成員帳戶以免遭關閉](orgs_account_close_policy.md)
+ [移除成員帳戶](orgs_manage_accounts_remove.md)
+ [從成員帳戶離開組織](orgs_manage_accounts_leave-as-member.md)
+ [更新成員帳戶的帳戶名稱](orgs_manage_accounts_update_name.md)
+ [更新成員帳戶的根使用者電子郵件](orgs_manage_accounts_update_primary_email.md)
# 成員帳戶最佳實務
請遵循這些推薦,協助保護組織中成員帳戶的安全。這些推薦假設,您同時遵守[僅將根使用者用於那些真正需要它的任務的最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。
**Topics**
+ [定義帳戶名稱和屬性](#bp_member-acct_define-acct)
+ [有效率地擴展您的環境和帳戶使用情況](#bp_member-acct_efficiently-scale)
+ [啟用根存取管理,以簡化管理成員帳戶的根使用者憑證](#bp_member-acct_root-access-management)
## 定義帳戶名稱和屬性
對於您的會員帳戶,請使用反映帳戶使用情況的命名結構和電子郵件地址。例如,`Workloads+fooA+dev@domain.com` 用於 `WorkloadsFooADev`,`Workloads+fooB+dev@domain.com` 用於 `WorkloadsFooBDev`。如果您已為組織定義了自訂標籤,建議您在反映帳戶使用情況、成本中心、環境和專案的帳戶上指派這些標籤。如此可讓您更容易識別、組織和搜尋帳戶。
## 有效率地擴展您的環境和帳戶使用情況
當您擴展時,在建立新帳戶之前,請確定不存在類似需求的帳戶,以避免不必要的重複。 AWS 帳戶 應基於常見的存取需求。如果您打算重複使用這些帳戶 (例如沙盒帳戶或同等帳戶),建議您清除帳戶中不需要的資源或工作負載,但儲存帳戶以供日後使用。
關閉帳戶之前,請注意,這些帳戶必須遵守關閉帳戶配額限制。如需詳細資訊,請參閱[的配額和服務限制 AWS Organizations](orgs_reference_limits.md)。考慮實作清理過程以重複使用帳戶,而不是關閉帳戶,並在可能的情況下建立新帳戶。如此一來,您就可以避免因執行資源而產生成本,並達到 [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) 限制。
## 啟用根存取管理,以簡化管理成員帳戶的根使用者憑證
我們建議您啟用根存取管理,以協助您監控和移除成員帳戶的根使用者憑證。根存取管理可防止復原根使用者憑證,從而改善組織中的帳戶安全性。
+ 移除成員帳戶的根使用者憑證,以防止 登入根使用者。這也可防止成員帳戶復原根使用者。
+ 擔任特殊權限工作階段,在成員帳戶上執行下列任務:
+ 移除設定錯誤的儲存貯體政策,此政策拒絕所有主體存取 Amazon S3 儲存貯體。
+ 刪除拒絕所有主體存取 Amazon SQS 佇列的 Amazon Simple Queue Service 資源型政策。
+ 允許成員帳戶復原其根使用者憑證。有權存取成員帳戶根使用者電子郵件收件匣的人員可以重設根使用者密碼,並以成員帳戶根使用者身分登入。
啟用根存取管理後,新建立的成員帳戶預設是secure-by-default,沒有根使用者憑證,因此不需要額外的安全性,例如佈建後的 MFA。
如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[集中成員帳戶的根使用者憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)。
### 使用 SCP 來限制成員帳戶中根使用者可執行的動作
建議您在組織中建立服務控制政策 (SCP),並將其附加至組織的根,以便套用至所有成員帳戶。如需詳細資訊,請參閱[保護您的 Organizations 帳戶的根使用者登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations)。
您可以拒絕所有根動作,唯必須在成員帳戶中執行的特定僅限根動作除外。例如,下列 SCP 可防止任何成員帳戶中的根使用者進行任何 AWS 服務 API 呼叫,但「更新設定錯誤且拒絕存取所有主體的 S3 儲存貯體政策」(需要根憑證的其中一個動作) 除外。如需詳細資訊,請參閱 *IAM 使用者指南*中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotAction":[
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:DeleteBucketPolicy"
],
"Resource": "*",
"Condition": {
"ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
}
}
]
}
```
------
在大多數情況下,任何管理任務都可由成員帳戶中具有相關管理員許可的 AWS Identity and Access Management (IAM) 角色執行。任何此類角色均應將套用適當的控制,以限制、記錄和監控活動。
# 使用 在組織中建立成員帳戶 AWS Organizations
本主題說明如何 AWS 帳戶 在組織中建立 AWS Organizations。如需建立單一 的相關資訊 AWS 帳戶,請參閱 [入門資源中心](https://aws.amazon.com/getting-started/)。
## 建立成員帳戶之前的考量事項
**Organizations 會自動`OrganizationAccountAccessRole`為成員帳戶建立 IAM 角色**
當您在組織中建立成員帳戶時,Organizations 會自動`OrganizationAccountAccessRole`在成員帳戶中建立 IAM 角色,讓管理帳戶中的使用者和角色能夠對成員帳戶執行完整的管理控制。每當政策更新時,連接到相同受管政策的任何其他帳戶都會自動更新。這個角色會受限於套用至成員帳戶的任何[服務控制政策 (SCP)](orgs_manage_policies_scps.md)。
**Organizations 會自動`AWSServiceRoleForOrganizations`為成員帳戶建立服務連結角色**
當您在組織中建立成員帳戶時,Organizations 會自動`AWSServiceRoleForOrganizations`在成員帳戶中建立服務連結角色,以啟用與特定 AWS 服務的整合。您必須設定其他服務以允許整合。如需詳細資訊,請參閱[AWS Organizations 和服務連結角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。
**成員帳戶只能在組織的根目錄中建立**
組織中的成員帳戶只能在組織的根目錄中建立。建立組織的成員帳戶根之後,您可以在 OUs 之間移動它。如需詳細資訊,請參閱[使用 將帳戶移至組織單位 (OU) 或根帳戶和 OUs 之間 AWS Organizations](move_account_to_ou.md)。
**連接到根的政策會立即套用**
如果您有任何政策連接到根目錄,這些政策會立即套用到所建立帳戶中的所有使用者和角色。
如果您已[AWS 為組織啟用其他服務的服務信任](orgs_integrate_services_list.md),則該信任的服務可以建立服務連結角色,或在組織中的任何成員帳戶中執行動作,包括您建立的帳戶。
**成員帳戶必須選擇接收行銷電子郵件**
您作為組織一部分建立的成員帳戶不會自動訂閱 AWS 行銷電子郵件。若要選擇加入您的帳戶以接收行銷電子郵件,請參閱[https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences)。
**由 管理的組織成員帳戶 AWS Control Tower 應在 中建立 AWS Control Tower**
如果您的組織由 管理 AWS Control Tower,我們建議您使用 AWS Control Tower 主控台中的帳戶工廠或使用 AWS Control Tower APIs來建立您的成員 AWS Control Tower 帳戶。
如果您在組織受管時於 Organizations 中建立成員帳戶 AWS Control Tower,則該帳戶將不會註冊 AWS Control Tower。如需詳細資訊,請參閱*AWS Control Tower 使用者指南*中的[參照 AWS Control Tower外部資源](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources)。
## 建立成員帳戶
登入組織的管理帳戶後,您可以建立屬於組織一部分的成員帳戶。
當您使用下列程序建立帳戶時, AWS Organizations 會自動將下列**主要聯絡資訊**從管理帳戶複製到新成員帳戶:
+ 電話號碼
+ 公司名稱
+ 網站 URL
+ 地址
Organizations 也會從管理帳戶複製通訊語言和 Marketplace 資訊 (某些帳戶的供應商 AWS 區域)。
**最低許可**
若要在您的組織中建立成員帳戶,您必須擁有以下許可:
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:CreateAccount`
### AWS 管理主控台
**建立自動 AWS 帳戶 成為您組織一部分的**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上,選擇**新增 AWS 帳戶**。
1. 在**[新增 AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** 頁面上,選擇**建立 AWS 帳戶**(預設會選擇該項)。
1. 在**[建立 AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** 頁面,針對**AWS 帳戶 名稱**,輸入您要指派給帳戶的名稱。此名稱可協助您區分該帳戶與組織中的所有其他帳戶,並且與 IAM 別名或擁有者的電子郵件名稱不同。
1. 針對**帳戶擁有者的電子郵件地址**,輸入帳戶擁有者的電子郵件地址。此電子郵件地址無法與另一個電子郵件地址建立關聯, AWS 帳戶 因為它會成為帳戶的根使用者的使用者名稱登入資料。
1. (選用) 指定要在新帳戶中自動建立、要指派給 IAM 角色的名稱。此角色會授予組織的管理帳戶許可,以存取新建立的成員帳戶。如果您未指定名稱, 會將預設名稱 AWS Organizations 提供給角色`OrganizationAccountAccessRole`。建議您在所有帳戶中使用預設名稱以確保一致性。
**重要**
請記住此角色名稱。稍後您會需要它,以便為管理帳戶中的使用者和角色授予新帳戶的存取權。
1. (選用) 在 **Tags** (標籤) 區段中,透過選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至新帳戶。將值留空會將其設定為空白字串;而不是 `null`。您可以在帳戶中連接最多 50 個標籤。
1. 選擇**建立 AWS 帳戶**。
+ 如果您收到錯誤,指出您已超出組織的帳戶配額,請參閱[當我試著新增帳戶到我的組織時,出現「超過配額」訊息](orgs_troubleshoot.md#troubleshoot_general_error-adding-account)。
+ 如果您收到錯誤,指出因為您的組織仍在初始化,您無法新增帳戶,請等候一小時然後重試。
+ 您也可以檢查 AWS CloudTrail 日誌,以取得帳戶建立是否成功的相關資訊。如需詳細資訊,請參閱[在 中記錄和監控 AWS Organizations](orgs_security_incident-response.md)。
+ 如果錯誤仍存在,請聯絡 [AWS 支援](https://console.aws.amazon.com/support/home#/)。
出現 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面時,將您的新帳戶新增至清單。
1. 現在帳戶已存在,並且具有的 IAM 角色可授予管理員存取給管理帳戶中的使用者,您可以遵循 [使用 存取組織中的成員帳戶 AWS Organizations](orgs_manage_accounts_access.md) 中的步驟來存取帳戶。
### AWS CLI & AWS SDKs
下列程式碼範例示範如何使用 `CreateAccount`。
------
#### [ .NET ]
**適用於 .NET 的 SDK**
GitHub 上提供更多範例。尋找完整範例,並了解如何在 [AWS 程式碼範例儲存庫](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中設定和執行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new AWS Organizations account.
///
public class CreateAccount
{
///
/// Initializes an Organizations client object and uses it to create
/// the new account with the name specified in accountName.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var accountName = "ExampleAccount";
var email = "someone@example.com";
var request = new CreateAccountRequest
{
AccountName = accountName,
Email = email,
};
var response = await client.CreateAccountAsync(request);
var status = response.CreateAccountStatus;
Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
}
}
```
+ 如需 API 詳細資訊,請參閱《適用於 .NET 的 AWS SDK API 參考》**中的 [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)。
------
#### [ CLI ]
**AWS CLI**
**建立會自動成為組織一部分的成員帳戶**
下列範例示範如何在組織中建立成員帳戶。成員帳戶是以生產帳戶名稱和 susan@example.com 的電子郵件地址來設定。Organizations 會使用 OrganizationAccountAccessRole 的預設名稱自動建立 IAM 角色,因為未指定 roleName 參數。此外,由於未指定 IamUserAccessToBilling 參數,因此允許具有足夠許可存取帳戶帳單資料的 IAM 使用者或角色的設定會設定為預設值 ALLOW。Organizations 會自動傳送「歡迎 AWS」電子郵件給 Susan:
```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
輸出包含一個請求物件,顯示狀態現在為 `IN_PROGRESS`:
```
{
"CreateAccountStatus": {
"State": "IN_PROGRESS",
"Id": "car-examplecreateaccountrequestid111"
}
}
```
您稍後可以將 Id 回應值作為 create-account-request-id 參數的值提供給 describe-create-account-status 命令,以查詢請求的目前狀態。
如需詳細資訊,請參閱《 *AWS Organizations 使用者指南*》中的在您的組織中建立 AWS 帳戶。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)。
------
# 使用 存取組織中的成員帳戶 AWS Organizations
當您在組織中建立帳戶時,除了根使用者之外,AWS Organizations 還會自動建立名為 `OrganizationAccountAccessRole` 的 IAM 角色。您可以在建立時指定不同的名稱,但我們建議您在所有帳戶中一致地命名它。 AWS Organizations 不會建立任何其他使用者或角色。
若要存取組織中的帳戶,您必須使用以下其中一個方法:
**最低許可**
若要 AWS 帳戶 從組織中的任何其他帳戶存取 ,您必須擁有下列許可:
`sts:AssumeRole` – `Resource` 元素必須設為星號 (\$1) 或需要存取新成員帳戶之使用者帳戶的帳戶 ID
------
#### [ Using the root user (Not recommended for everyday tasks) ]
當您在組織中建立新的成員帳戶時,該帳戶預設沒有根使用者登入資料。成員帳戶無法登入其根使用者,也無法為其根使用者執行密碼復原 (除非啟用帳戶復原)。
您可以[集中成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html),以移除組織中現有成員帳戶的根使用者憑證。刪除根使用者憑證會移除根使用者密碼、存取金鑰、簽署憑證,並停用多重驗證 (MFA)。這些成員帳戶沒有根使用者憑證,無法以根使用者身分登入,而且無法復原根使用者密碼。您在 Organizations 中建立的新帳戶預設沒有根使用者憑證。
如果您需要在不存在根使用者憑證的成員帳戶上執行需要根使用者憑證的任務,請聯絡您的管理員。
若要以根使用者身分存取您的成員帳戶,您必須完成密碼復原程序。如需詳細資訊,請參閱 *AWS 登入使用者指南*中的[我忘記 的根使用者密碼 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password)。
如果您必須使用根使用者存取成員帳戶,請遵循下列最佳實務:
+ 除了建立具有更有限許可的其他使用者和角色之外,請勿使用根使用者來存取您的帳戶。然後,以這些使用者或角色身分登入。
+ 在[根使用者上啟用多重驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa)。重設密碼,並[將 MFA 裝置指派給根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)。
如需這些任務的完整清單,了解需以根使用者登入的任務,請參閱 *IAM 使用者指南*中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。如需其他根使用者安全建議,請參閱《*IAM 使用者指南*》中的 [的根使用者最佳實務 AWS 帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。
------
#### [ Using trusted access for IAM Identity Center ]
使用 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)並啟用 IAM Identity Center 的受信任存取 AWS Organizations。這可讓使用者使用其公司登入資料登入 AWS 存取入口網站,並存取其指派管理帳戶或成員帳戶中的資源。
如需詳細資訊,請參閱 *AWS IAM Identity Center 使用者指南*中的[多帳戶許可](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html)。如需設定 IAM Identity Center 的受信任存取的詳細資訊,請參閱 [AWS IAM Identity Center 而且 AWS Organizations](services-that-can-integrate-sso.md)。
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
如果您使用 提供的工具來建立帳戶 AWS Organizations,您可以使用您以此方式建立的所有新帳戶中,名為 `OrganizationAccountAccessRole` 的預先設定角色來存取帳戶。如需詳細資訊,請參閱[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。
若是邀請現有帳戶加入組織,而該帳戶也接受邀請,您可以選擇建立 IAM 角色,以允許管理帳戶存取受邀的成員帳戶。此角色與 AWS Organizations建立的帳戶中自動新增的角色完全相同。
若要建立角色,請參閱[使用 為受邀帳戶建立 OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)。
在您建立角色後,您便可以使用[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)中的步驟來存取它。
------
**Topics**
+ [建立 IAM 存取角色](orgs_manage_accounts_create-cross-account-role.md)
+ [使用 IAM 存取角色](orgs_manage_accounts_access-cross-account-role.md)
# 使用 為受邀帳戶建立 OrganizationAccountAccessRole AWS Organizations
依預設,如果您隨著組織建立成員帳戶, AWS 會自動在帳戶中建立一個角色,為管理帳戶中可以擔任該角色的 IAM 使用者授予管理員許可。在預設情況下,該角色名為 `OrganizationAccountAccessRole`。如需詳細資訊,請參閱[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。
不過,您*邀請*加入組織的成員帳戶,***不會***自動建立管理員角色。您可以手動執行此動作,如以下程序所示。這基本上會複製自動為已建立帳戶設定的角色。我們建議您為手動建立的角色使用相同的名稱 `OrganizationAccountAccessRole`,以保有一致性並方便記住。
------
#### [ AWS 管理主控台 ]
**在成員帳戶中建立 AWS Organizations 管理員角色**
1. 登入 IAM 主控台,網址為 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。您必須以 IAM 使用者的身分登入,擔任 IAM 角色,或以成員帳戶中的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。使用者或角色必須具有建立 IAM 角色和政策的許可。
1. 在 IAM 主控台中,導覽至**角色**,然後選擇**建立角色**。
1. 選擇 **AWS 帳戶**,然後選擇**另一個 AWS 帳戶**。
1. 輸入您要授予管理員存取權之管理帳戶的 12 位數帳戶 ID 號碼。在**選項**下,請注意下列事項:
+ 針對此角色,因為帳戶是公司內部帳戶,您**不**應該選擇 **Require external ID** (需要外部 ID)。如需外部 ID 選項的詳細資訊,請參閱《*IAM 使用者指南*》中的[我應該何時使用外部 ID?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use)。
+ 如果您已啟用和設定 MFA 身分驗證,您可以選擇性地要求使用 MFA 裝置進行身分驗證。如需 MFA 的詳細資訊,請參閱《*IAM 使用者指南*》中的[在 中使用多重要素驗證 (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
1. 選擇**下一步**。
1. 在**新增許可**頁面上,選擇名為 的 AWS 受管政策,`AdministratorAccess`然後選擇**下一步**。
1. 在**名稱、檢閱和建立**頁面上,指定角色名稱和選用描述。為求與新帳戶中指派給角色的預設名稱一致,建議您使用 `OrganizationAccountAccessRole`。若要遞交您的變更,請選擇 **Create role (建立角色)**。
1. 您的新角色會顯示在可用的角色清單中。選擇新角色的名稱來檢視其詳細資訊,特別注意提供的連結 URL。將此 URL 提供給成員帳戶中,需要存取角色的使用者。此外,請記下 **Role ARN (角色 ARN)**,因為您在步驟 15 中將需要它。
1. 登入 IAM 主控台,網址為 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。這時,以管理帳戶中擁有許可能建立政策和將政策指派給使用者或群組的使用者身分登入。
1. 導覽至**政策**,然後選擇**建立政策**。
1. 針對 **Service (服務)**,選擇 **STS**。
1. 針對**動作**,首先在**篩選條件**方塊中輸入 **AssumeRole**,然後在出現時選中旁邊的核取方塊。
1. 在**資源**下,確定已選取**特定**,然後選擇**新增 ARNs**。
1. 輸入 AWS 成員帳戶 ID 號碼,然後輸入您先前在步驟 1–8 中建立的角色名稱。選擇**新增 ARN**。
1. 如果您要授予許可以擔任多個成員帳戶中的角色,請對每個帳戶重複步驟 14 和 15。
1. 選擇**下一步**。
1. 在**檢閱和建立**頁面上,輸入新政策的名稱,然後選擇**建立政策**以儲存變更。
1. 在導覽窗格中選擇**使用者群組**,然後選擇您要用來委派成員帳戶管理的群組名稱 (而非核取方塊)。
1. 選擇**許可**索引標籤。
1. 選擇**新增許可**,選擇**連接政策**,然後選擇您在步驟 11–18 中建立的政策。
------
所選取群組成員的使用者現在可以使用您在步驟 9 中擷取的 URL 來存取每個成員帳戶的角色。他們可以透過您在組織中所建立帳戶的相同方式存取這些成員帳戶。如需使用角色來管理成員帳戶詳細資訊,請參閱[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。
# 使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations
當您使用 AWS Organizations 主控台建立成員帳戶時, AWS Organizations *會自動*`OrganizationAccountAccessRole`在帳戶中建立名為 的 IAM 角色。此角色擁有成員帳戶內的完整管理許可。此角色的存取範圍包括管理帳戶中的所有主體,因此該角色設定為授予對該組織管理帳戶的存取權。
您可以遵循 [使用 為受邀帳戶建立 OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)中的步驟,為獲邀請成員帳戶建立完全相同的角色。
若要使用此角色來存取成員帳戶,您必須以管理帳戶帳戶中擁有擔任此角色許可的使用者身分登入。若要設定這些許可,請執行下列程序。我們建議您將許可授予群組,而不是使用者,以方便維護。
------
#### [ AWS 管理主控台 ]
**授予管理帳戶中 IAM 群組成員的許可以存取角色**
1. 登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)),以管理帳戶中擁有管理員許可的使用者身分。需要此項,才能將許可委派給其使用者將存取成員帳戶中角色的 IAM 群組。
1. 透過建立您稍後在[Step 14](#step-choose-group) 中需要的受管理政策來開始。
在導覽窗格中,選擇 **Policies (政策)**,然後選擇 **Create policy (建立政策)**。
1. 在視覺化編輯器索引標籤上,選擇**選擇服務**,**STS**在搜尋方塊中輸入 以篩選清單,然後選擇 **STS** 選項。
1. 在**動作**區段**assume**中,在搜尋方塊中輸入 以篩選清單,然後選擇 **AssumeRole** 選項。
1. 在**資源**區段中,選擇**特定**,選擇**新增 ARNs**
1. 在**指定 ARN (s)** 區段中,為資源選擇**其他帳戶**。
1. 輸入您剛建立的成員帳戶的 ID
1. 對於**具有路徑的資源角色名稱**,輸入您在上一節中建立的角色名稱 (建議將其命名為 `OrganizationAccountAccessRole`)。
1. 當對話方塊顯示正確的 ** ARNs 時,選擇新增** ARN。
1. (選擇性) 如果您想要要求多重因素認證 (Multi-Factor Authentication,MFA),或限制來自指定 IP 地址範圍的角色存取,請展開「請求條件」區段,然後選取您要強制執行的選項。
1. 選擇**下一步**。
1. 在**檢閱和建立**頁面上,輸入新政策的名稱。例如:**GrantAccessToOrganizationAccountAccessRole**。您也可以加入選用說明。
1. 選擇 **Create policy (建立政策)** 以儲存您的新受管政策。
1. 現在有了可用的政策,您就可以將其連接到群組。
在導覽窗格中,選擇**使用者群組**,然後選擇您要在成員帳戶中擔任該角色之成員的群組名稱 (而非核取方塊)。如果需要,您可以建立新群組。
1. 選擇 **許可** 標籤、選擇 **新增許可**,然後選擇 **連接政策**。
1. (選擇性) 在 **Search (搜尋)** 方塊中,您可以開始輸入政策名稱以篩選清單,直到您可以看到剛剛在[Step 2](#step-create-policy) 到[Step 13](#step-end-policy) 建立的政策名稱為止。您也可以選擇所有**類型**,然後選擇客戶 AWS 受管,篩選掉所有受管政策。 ****
1. 勾選政策旁的方塊,然後選擇**連接政策**。
------
屬於 群組成員的 IAM 使用者現在具有在 AWS Organizations 主控台中使用下列程序切換到新角色的許可。
------
#### [ AWS 管理主控台 ]
**切換到成員帳戶的角色**
使用角色時,使用者擁有新成員帳戶中的管理員許可。指示身為群組成員的 IAM 使用者,執行下列動作切換到新的角色。
1. 從 AWS Organizations 主控台的右上角,選擇包含您目前登入名稱的連結,然後選擇**切換角色**。
1. 輸入管理員提供的帳戶 ID 號碼和角色名稱。
1. 對於 **Display Name (顯示名稱)**,輸入您要在右上角導覽列中顯示的文字,以在您使用該角色時取代您的使用者名稱。您可以選擇性地選擇顏色。
1. 選擇 **Switch Role** (切換角色)。現在您執行的所有動作,都是使用授予您切換目標角色的許可所完成。在您切換回去之前,您將不再擁有與原始 IAM 使用者建立關聯的許可。
1. 在您完成需要角色許可的執行動作後,您便可以切換回您的一般 IAM 使用者。在右上角 (任何您指定為 **Display Name (顯示名稱)** 的項目) 選擇角色名稱,然後選擇 **Back to *UserName* (切換回 UserName)**。
------
# 使用 關閉組織中的成員帳戶 AWS Organizations
如果您不再需要組織中的成員帳戶,您可以按照本主題中的指示,從[AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)將其關閉。如果您的組織處於[所有功能](orgs_getting-started_concepts.md#feature-set-all)模式,您只能使用 AWS Organizations 主控台關閉成員帳戶。
您也可以在以根使用者身分登入 AWS 管理主控台 後 AWS 帳戶 ,直接從 中的[**帳戶**頁面](https://console.aws.amazon.com/billing/home#/account)關閉 。如需step-by-step說明,請參閱《 *AWS 帳戶管理指南*》中的[關閉 AWS 帳戶](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) 。
若要關閉管理帳戶,請參閱 [關閉組織中的管理帳戶](orgs_manage_accounts_close_management.md)。
## 關閉成員帳戶
登入組織的管理帳戶時,您可以關閉屬於組織一部分的成員帳戶。若要執行此動作,請執行下列步驟。
**重要**
在關閉您的成員帳戶之前,強烈建議您檢閱考量事項,並了解關閉帳戶的影響。如需詳細資訊,請參閱 [帳戶管理指南中的關閉帳戶前須知](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations)事項和[關閉帳戶後須知事項](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure)。 *AWS *
------
#### [ AWS Management Console ]
**從 AWS Organizations 主控台關閉成員帳戶**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者身分登入,或以組織的管理帳戶中的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上,尋找並選擇您要關閉的成員帳戶名稱。您可以導覽 OU 階層,或查看沒有 OU 結構的帳戶平面清單。
1. 選擇頁面頂端帳戶名稱旁的 **Close** (關閉)。只有在組織處於[所有功能](orgs_getting-started_concepts.md#feature-set-all)模式時, AWS 才能使用此選項。
**注意**
如果您的組織使用[合併帳單](orgs_getting-started_concepts.md#feature-set-cb-only)模式,您將無法在主控台中看到**關閉**按鈕。若要以合併帳單模式關閉帳戶,請登入您要以根使用者身分關閉的帳戶。在**帳戶**頁面上,選擇**關閉帳戶**按鈕,輸入您的帳戶 ID,然後選擇**關閉帳戶**按鈕。
1. 閱讀並確保您了解帳戶關閉指引。
1. 輸入成員帳戶 ID,然後選擇**關閉帳戶**。
**注意**
您關閉的任何成員帳戶都會在 AWS Organizations 主控台中在其帳戶名稱旁顯示`CLOSED`標籤,最長可達原始關閉日期後 90 天。90 天後,成員帳戶將永久關閉,且不會再顯示在 AWS Organizations 主控台中。請注意,永久關閉後,帳戶可能需要幾天的時間才能從組織中移除。
**從帳戶頁面關閉成員帳戶**
或者,您也可以直接從 中的帳戶頁面關閉 AWS 成員**帳戶** AWS 管理主控台。如需step-by-step指引,請遵循*AWS 帳戶管理指南*中[關閉 AWS 帳戶](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html) 中的指示。
------
#### [ AWS CLI & AWS SDKs ]
**關閉 AWS 帳戶**
您可以使用下列其中一項命令來關閉 AWS 帳戶:
+ AWS CLI:[close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)。
```
$ aws organizations close-account \
--account-id 123456789012
```
此命令成功後就不會產生輸出。
+ AWS SDKs:[CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)
------
# 使用 保護成員帳戶免於關閉 AWS Organizations
為了保護成員帳戶免於意外關閉,請建立 IAM 政策來指定哪些帳戶可豁免。此政策可防止關閉受保護的成員帳戶。
建立 IAM 政策以拒絕使用下列其中一種方法關閉帳戶:
+ 使用政策的 ARNs 明確列出政策`Resource`元素中的受保護帳戶。
+ 標記個別帳戶並使用`aws:ResourceTag`全域條件金鑰,以防止關閉已標記的帳戶。
**注意**
服務控制政策 SCPs) 不會影響管理帳戶中的 IAM 主體。
## 防止關閉成員帳戶的範例 IAM 政策
下列程式碼範例顯示兩種不同的方法來限制成員帳戶關閉其帳戶。
------
#### [ Prevent member accounts with tags from getting closed ]
您可以將以下政策連接至管理帳戶中的身分。此政策可防止管理帳戶中的主體關閉任何加上 `aws:ResourceTag` 標籤全域條件金鑰、`AccountType` 索引鍵和 `Critical` 標籤值的成員帳戶。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccountForTaggedAccts",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
}
}
]
}
```
------
#### [ Prevent member accounts listed in this policy from getting closed ]
您可以將以下政策連接至管理帳戶中的身分。此政策可防止管理帳戶中的主體關閉 `Resource` 元素中明確指定的成員帳戶。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccount",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": [
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
]
}
]
}
```
------
# 使用 從組織移除成員帳戶 AWS Organizations
移除成員帳戶並不會關閉帳戶,而是會從組織移除成員帳戶。前成員帳戶會成為 AWS 帳戶 不再由 管理的獨立帳戶 AWS Organizations。
之後,該帳戶不再受任何政策的約束,並負責自己的帳單支付。從組織移除帳戶後,該組織的管理帳戶不會再針對該帳戶所累積的任何費用收費。
## 考量事項
**管理帳戶建立的 IAM 存取角色不會自動刪除**
當您從組織中移除成員帳戶時,不會自動刪除為啟用組織管理帳戶存取權而建立的任何 IAM 角色。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 *IAM 使用者指南*中的[刪除角色或執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
**只有在帳戶具有以獨立帳戶運作所需的資訊時,您才能從組織移除帳戶**
只有在帳戶具有讓它以獨立帳戶形式運作所需的資訊時,您才能從組織移除帳戶。當您使用 AWS Organizations 主控台、API 或 AWS CLI 命令在組織中建立帳戶時,*不會*自動收集獨立帳戶所需的所有資訊。
對於您要獨立建立的每個帳戶,您必須選擇支援計畫、提供和驗證所需的聯絡資訊,並提供目前的付款方式。 AWS 會使用 付款方式來收取帳戶未連接到組織時發生的任何計費 (非 AWS 免費方案) AWS 活動的費用。若要移除尚未取得此資訊的帳戶,請依照 [使用 從成員帳戶離開組織 AWS Organizations](orgs_manage_accounts_leave-as-member.md) 中的步驟執行。
**您必須等到帳戶建立後至少四天**
若要移除您在組織中建立的帳戶,您必須等到帳戶建立後至少四天。受邀的帳戶不受此等待期限的限制。
**離開的帳戶擁有者會負責所有累積的新成本**
帳戶成功離開組織時, 的擁有者 AWS 帳戶 會負責所有累積的新 AWS 成本,並使用帳戶的付款方式。組織的管理帳戶不再負責。
**該帳戶不能是為組織啟用的任何 AWS 服務的委派管理員帳戶**
您要移除的帳戶不得是為組織啟用的任何 AWS 服務的委派管理員帳戶。如果帳戶是委派的系統管理員,您必須先將委派的管理員帳戶變更為組織中剩餘的另一個帳戶。如需如何停用或變更 AWS 服務的委派管理員帳戶的詳細資訊,請參閱該服務的文件。
**帳戶不再有權存取成本和用量資料**
當成員帳戶離開組織時,該帳戶就不再能夠帳戶存取作為組織成員期間的成本和使用狀況資料。不過,組織的管理帳戶仍然可以存取資料。如果帳戶重新加入組織,帳戶便能再次存取資料。
**會刪除連接至帳戶的標籤**
當成員帳戶離開組織時,會刪除連接至該帳戶的所有標籤。
**帳戶中的委託人不再受到任何組織政策的影響**
帳戶中的委託人不再受組織中套用的任何[政策](orgs_manage_policies.md)的影響。這表示 SCP 實施的限制將不再有效,而帳戶中的使用者和角色可能會較以前具有更多的許可。其他組織政策類型無法再強制執行或處理。
**組織協議不再涵蓋該帳戶**
如果成員帳戶被從組織中移除,該成員帳戶即不再涵蓋於組織協議中。管理帳戶管理員應在從組織移除成員帳戶之前,與成員帳戶溝通此事,以便在必要時成員帳戶可以簽訂新的協議。您可以在 Organization Agreements 頁面的 AWS Artifact 主控台中檢視作用中組織協議的清單。 [AWS Artifact](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements)
**可能會停用與其他 服務的整合**
與其他服務的整合可能會停用。如果您從 AWS 已啟用與服務整合的組織中移除帳戶,則該帳戶中的使用者將無法再使用該服務。
## 從組織移除成員帳戶
登入組織的管理帳戶時,您可以從組織移除您不再需要的成員帳戶。若要這麼做,請執行下列作業:此程序僅適用於成員帳戶。若要移除管理帳戶,您必須[刪除組織](orgs_manage_org_delete.md)。
**最低許可**
若要從組織中移除一個或多個成員帳戶,您必須以管理帳戶中具有以下許可的使用者或角色身分登入:
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:RemoveAccountFromOrganization`
如果您在步驟 5 中選擇以成員帳戶中的使用者或角色的身分登入,則該使用者或角色必須擁有以下許可:
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:LeaveOrganization` – 請注意,組織管理員可以套用會移除此許可的政策到您的帳戶,以防止您從您的組織移除帳戶。
如果您以 IAM 使用者的身分登入,而且帳戶缺少付款資訊,則使用者必須擁有 `aws-portal:ModifyBilling` 和 `aws-portal:ModifyPaymentMethods` 許可 (若該帳戶尚未遷移至精細許可) 或 `payments:CreatePaymentInstrument` 和 `payments:UpdatePaymentPreferences` 許可 (若該帳戶已遷移至精細許可)。此外,成員帳戶必須已啟用 IAM 使用者對帳單的存取權。如果尚未啟用,請參閱*AWS Billing 使用者指南*中的[啟用帳單和成本管理主控台的存取權](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)。
------
#### [ AWS 管理主控台 ]
**從組織移除成員帳戶**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上,尋找並選擇您要從您的組織移除的每個成員帳戶旁白的核取方塊 ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/checkbox-selected.png)。您可以導覽 OU 階層,或** AWS 帳戶 僅啟用檢視**,以查看沒有 OU 結構的帳戶一般清單。如果您有許多帳戶,您可能需要在清單底部選擇**載入更多採用 '*ou-name*' 的帳戶**,以尋找您想要移動的所有內容。
在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上,尋找並選擇您要從您的組織移除的成員帳戶的名稱。您可能需要展開 OU (選擇 ![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/console-expand.png)),以尋找您想要的帳戶。
1. 選擇 **Actions** (動作),然後在 **AWS 帳戶** 下,選擇 **Remove from organization** (從組織中移除)。
1. 在 **Remove account '*account-name*' (\$1*account-id-num*) from organization?** (從組織中移除帳戶 'account-name' (\$1account-id-num)) 對話方塊中,選擇 **Remove account** (移除帳戶)。
1. 如果 AWS Organizations 無法移除一或多個帳戶,通常是因為您尚未提供帳戶作為獨立帳戶運作所需的所有資訊。執行以下步驟:
1. 登入失敗的帳戶。我們建議您透過選擇 **Copy link** (複製連結),然後將連結貼到新無痕瀏覽器視窗的網址列來登入成員帳戶。如果您沒有看到**複製連結**,請使用[此連結](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)前往**註冊 AWS**頁面並完成缺少的註冊步驟。如果您不使用無痕視窗,系統會將您從管理帳戶登出,並且將無法瀏覽回此對話方塊。
1. 您的瀏覽器會帶領您直接前往註冊程序,以完成此帳戶遺漏的任何步驟。完成提示的所有步驟。它們可能包含下列項目:
+ 提供聯絡資訊
+ 提供有效的付款方法
+ 驗證電話號碼
+ 選取支援計劃選項
1. 完成最後一個註冊步驟後, AWS 會自動將您的瀏覽器重新導向至成員帳戶的 AWS Organizations 主控台。選擇 **Leave organization (離開組織)**,然後在確認對話方塊中確認您的選擇。系統會將您重新導向至 AWS Organizations 主控台的**入門**頁面,您可以在其中檢視任何擱置邀請,以便帳戶加入其他組織的。
1. 從組織移除授予帳戶存取權的 IAM 角色。
**重要**
如果您的帳戶是在組織中建立的,則 Organizations 會自動在帳戶中建立 IAM 角色,使組織的管理帳戶具有存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除此 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 *IAM 使用者指南*中的[刪除角色或執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
------
#### [ AWS CLI & AWS SDKs ]
**從組織移除成員帳戶**
您可以使用下列其中一項命令來移除成員帳戶:
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)
```
$ aws organizations remove-account-from-organization \
--account-id 123456789012
```
此命令成功後就不會產生輸出。
+ AWS SDKs:[RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)
從組織移除帳戶之後,請確保從組織移除授予此帳戶存取權的 IAM 角色。
**重要**
如果您的帳戶是在組織中建立的,則 Organizations 會自動在帳戶中建立 IAM 角色,使組織的管理帳戶具有存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除此 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 *IAM 使用者指南*中的[刪除角色或執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
會員帳戶可以使用 [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html) 來移除自己。如需詳細資訊,請參閱[使用 從成員帳戶離開組織 AWS Organizations](orgs_manage_accounts_leave-as-member.md)。
------
# 使用 從成員帳戶離開組織 AWS Organizations
登入成員帳戶時,您可以離開組織。管理帳戶無法使用此技術來離開組織。若要移除管理帳戶,您必須[刪除組織](orgs_manage_org_delete.md)。
## 考量事項
**組織帳戶的狀態會影響可看見的成本和用量資料**
無論組織成員資格變更為何,帳戶都會維持對交付給他們的所有過去發票及其產生的所有帳單資料的存取權。不過,Cost Explorer 資料可見性與目前的組織成員資格相關聯。下表顯示三個常見的帳戶轉換如何影響資料可見性:
****
| | 發票可用性 | 帳單可用性 (例如帳單頁面) | Cost Explorer 可用性 |
| --- | --- | --- | --- |
| 案例 1成員帳戶離開 organizationA 並成為獨立帳戶 | 帳戶會維護交付給該帳戶的所有歷史發票的存取權。 | 帳戶會維護其以 organizationA 成員身分產生的所有歷史帳單資料的存取權。 | 帳戶會失去以 organizationA 成員身分產生的歷史成本和用量資料的存取權。 |
| 案例 2成員帳戶離開 organizationA 並加入 organizationB | 帳戶會維護交付給該帳戶的所有歷史發票的存取權。 | 帳戶會維護其以 organizationA 成員身分產生的所有歷史帳單資料的存取權。 | 帳戶會失去以 organizationA 成員身分產生的歷史成本和用量資料的存取權。 |
| 案例 3帳戶重新加入先前所屬的組織 | 帳戶會維護交付給該帳戶的所有歷史發票的存取權。 | 帳戶會維護其產生的所有歷史帳單資料的存取權 (無論以獨立帳戶或其他組織的成員身分產生)。 | 帳戶會在成為組織成員的完整期間內重新取得成本和用量資料的存取權,但無法存取目前組織之外產生的所有歷史成本和用量。 |
**該帳戶不再由代表其接受的組織協議涵蓋**
如果您離開某個組織,您將不再受到組織的管理帳戶代表您接受的組織協議的涵蓋。您可以在 Organization Agreements 頁面的 AWS Artifact 主控台中檢視這些[AWS Artifact 組織協議](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements)的清單。離開組織之前,您應該判斷 (適當時,在您的法律、隱私權或合規團隊的協助下) 是否有必要設立新的協議。
**帳戶的配額限制可能會變更,並可能導致影響**
將組織保留為成員帳戶可能會影響該帳戶可用的服務配額限制。如果您的自動化工作負載需要更高的限制,請在離開組織後重新檢視服務配額主控台中的配額,以確保不間斷的體驗。離開組織後請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)尋求協助。
## 從成員帳戶離開組織
若要離開組織,請完成下列程序。
**最低許可**
若要離開 組織,您必須擁有以下許可:
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:LeaveOrganization` – 請注意,組織管理員可以套用會移除此許可的政策到您的帳戶,以防止您從您的組織移除帳戶。
如果您以 IAM 使用者的身分登入,而且帳戶缺少付款資訊,則使用者必須擁有 `aws-portal:ModifyBilling` 和 `aws-portal:ModifyPaymentMethods` 許可 (若該帳戶尚未遷移至精細許可) 或 `payments:CreatePaymentInstrument` 和 `payments:UpdatePaymentPreferences` 許可 (若該帳戶已遷移至精細許可)。此外,成員帳戶必須已啟用 IAM 使用者對帳單的存取權。如果尚未啟用,請參閱*AWS Billing 使用者指南*中的[啟用帳單和成本管理主控台的存取權](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)。
------
#### [ AWS 管理主控台 ]
**若要從成員帳戶離開組織**
1. 在 AWS Organizations 主控台登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者的身分登入,擔任 IAM 角色,或以成員帳戶中的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
根據預設,您無法存取使用 建立之成員帳戶中的根使用者密碼 AWS Organizations。如有需要,請依照 中的**使用根使用者 (不建議用於日常任務) 中的步驟來復原根使用者**密碼[使用 存取組織中的成員帳戶 AWS Organizations](orgs_manage_accounts_access.md)。
1. 在**[組織儀表板](https://console.aws.amazon.com/organizations/v2/home/dashboard)**頁面上,選擇**離開此組織**。
1. 在**確認離開組織?**對話方塊中,選擇**離開組織**。收到提示時,確認選擇移除帳戶。確認之後,系統會將您重新導向至 AWS Organizations 主控台的**入門**頁面,您可以在其中檢視帳戶加入其他組織的任何待處理邀請。
如果顯示**您目前無法離開組織**訊息,表示您的帳戶沒有以獨立帳戶運作所需的完整資訊。如果是這種情況,請繼續下一個步驟。
1. 如果**確認離開組織?**對話方塊顯示**您目前無法離開組織**訊息,請選擇**完成帳戶註冊步驟**連結。
如果您沒有看到**完成帳戶註冊步驟**連結,請使用[此連結](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)前往**註冊 AWS**頁面完成缺少的註冊步驟。
1. 在**註冊 AWS** 頁面上,輸入成為獨立帳戶所需的所有必要資訊。可能包括以下資訊類型:
+ 聯絡人姓名及地址
+ 有效的付款方式
+ 電話號碼驗證
+ 支援計劃選項
1. 看到說明註冊程序完成的對話方塊時,請選擇 **Leave organization (離開組織)**。
出現確認對話方塊。確認選擇移除帳戶。系統會將您重新導向至 AWS Organizations 主控台**的入門**頁面,您可以在其中檢視帳戶加入其他組織的任何待處理邀請。
1. 從組織移除授予帳戶存取權的 IAM 角色。
**重要**
如果您的帳戶是在組織中建立的,則 Organizations 會自動在帳戶中建立 IAM 角色,使組織的管理帳戶具有存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除此 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 *IAM 使用者指南*中的[刪除角色或執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
------
#### [ AWS CLI & AWS SDKs ]
**以成員帳戶的身分離開組織**
您可以使用下列其中一項命令來離開組織:
+ AWS CLI: [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)
下列範例會造成使用其憑證執行命令的帳戶離開組織。
```
$ aws organizations leave-organization
```
此命令成功後就不會產生輸出。
+ AWS SDKs:[LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)
成員帳戶離開組織後,請確保從組織移除授予此帳戶存取權的 IAM 角色。
**重要**
如果您的帳戶是在組織中建立的,則 Organizations 會自動在帳戶中建立 IAM 角色,使組織的管理帳戶具有存取權。如果帳戶是受邀加入,則 Organizations 不會自動建立此類角色,但是您或其他管理員可能已建立此類角色以獲得相同的利益。無論是哪一種情況,當您從組織移除帳戶時,任何此類角色都不會自動刪除。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除此 IAM 角色。如需關於如何刪除角色的詳細資訊,請參閱 *IAM 使用者指南*中的[刪除角色或執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
管理帳戶中的使用者也可以改用 [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html) 來移除成員帳戶。如需詳細資訊,請參閱[從組織移除成員帳戶](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account)。
------
# 使用 更新成員帳戶的帳戶名稱 AWS Organizations
當您登入組織的管理帳戶時,您可以更新成員帳戶的帳戶名稱。若要了解如何更新成員帳戶名稱,請遵循《 *AWS 帳戶管理 參考指南*》[AWS 帳戶 中更新組織中任何 的帳戶名稱](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs)中的步驟。
# 使用 更新成員帳戶的根使用者電子郵件地址 AWS Organizations
為了提高安全性和管理彈性,管理帳戶中的 IAM 主體 (具有必要的 IAM 許可) 可以集中更新其任何成員帳戶的根使用者電子郵件地址 (也稱為主要電子郵件地址),而無需個別登入每個帳戶。這可讓管理帳戶中的管理員 (或委派管理員帳戶中的管理員) 對其成員帳戶有更多控制權。它還確保來自 中任何成員帳戶的根使用者電子郵件地址 AWS Organizations 可以保持最新狀態,即使您可能無法存取原始根使用者電子郵件地址或管理登入資料。
當根使用者電子郵件地址由管理帳戶管理員集中變更時,密碼和 MFA 組態將保持不變。請注意,控制帳戶的根使用者電子郵件地址和主要聯絡人電話號碼的使用者可以略過 MFA。
若要更新組織中成員帳戶的根使用者電子郵件地址,您的組織先前必須啟用[所有功能](orgs_getting-started_concepts.md#feature-set-all)模式。在合併帳單模式或非組織一部分的帳戶 AWS Organizations 中, 無法集中更新其根使用者電子郵件地址。想要變更 API 不支援之帳戶的根使用者電子郵件地址的使用者,應該繼續使用帳單主控台來管理其根使用者電子郵件地址。
如需如何更新成員帳戶根使用者電子郵件地址step-by-step說明,請參閱《 *AWS 帳戶管理 參考指南*》[AWS 帳戶 中的為組織中的任何 更新根使用者電子郵件](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs)。
# 使用 管理帳戶邀請 AWS Organizations
在您[建立組織](orgs_manage_org_create.md)[並確認擁有與管理帳戶相關聯的電子郵件地址](about-email-verification.md)後,您可以邀請現有的 AWS 帳戶 加入您的組織。使用 AWS Organizations 主控台來啟動和管理您傳送給其他帳戶的邀請。您只能從組織的管理帳戶傳送邀請給其他帳戶。
當您邀請帳戶時, 會 AWS Organizations 傳送邀請給帳戶擁有者,他們可以決定接受或拒絕邀請。
如果您是 的管理員 AWS 帳戶,您也可以接受或拒絕來自組織的邀請。如果您接受,您的帳戶會變成該組織的成員。
若要建立自動成為組織一部分的帳戶,請參閱 [使用 在組織中建立成員帳戶 AWS Organizations](orgs_manage_accounts_create.md)。
**重要**
組織中的所有帳戶都必須來自與管理帳戶相同的 AWS 分割區。商業 AWS 區域 分割區中的帳戶不能位於具有來自中國區域分割區或 AWS GovCloud (US) 區域分割區中帳戶的組織。
**Topics**
+ [考量事項](#impact_of_join)
+ [傳送邀請](orgs_manage_accounts_invite-account.md)
+ [管理待定邀請](orgs_manage_accounts_manage-invites.md)
+ [接受或拒絕邀請](orgs_manage_accounts_accept-decline-invite.md)
## 考量事項
**您可以每天傳送的邀請數量限制**
如需每天可傳送的邀請數量限制,請參閱 [最大值和最小值](orgs_reference_limits.md#min-max-values)。已接受的邀請不會計入此限制之內。一旦有邀請被接受,當天即可以傳送另一個邀請。必須在 15 天內回應每個邀請,否則邀請會過期。
傳送到帳戶的邀請會計入組織中的帳戶配額。如果受邀帳戶拒絕、管理帳戶取消邀請或邀請過期,則會重設計數。
**帳戶只能加入一個組織**
帳戶只能加入一個組織。如果您收到多個邀請,您只能接受一個邀請。
**帳單歷史記錄和報告會保留在管理帳戶中**
所有帳戶的帳單歷史記錄和報告都會保留在 組織中的管理帳戶。將帳戶移至新的組織之前,請匯出或備份任何帳單,並報告您要保留的任何成員帳戶的歷史記錄。這可能包括[成本和用量報告](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html)、[Cost Explorer 報告](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html)、[Savings Plans 報告](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr),以及[預留執行個體 (RI) 使用率和涵蓋範圍](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer)。
**管理帳戶負責成員帳戶產生的所有費用**
帳戶接受加入組織的邀請後,組織的管理帳戶會負責支付新成員帳戶產生的所有費用。不再使用連接至成員帳戶的付款方式。而是連接至組織管理帳戶的付款方式來支付成員帳戶產生的所有費用。
**Organizations 會自動建立服務連結角色 `AWSServiceRoleForOrganizations`**
AWS Organizations 會建立名為 的服務連結角色`AWSServiceRoleForOrganizations`,以支援 AWS Organizations 與其他 AWS 服務之間的整合。如需詳細資訊,請參閱[AWS Organizations 和服務連結角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。如果您的組織支援[所有功能](orgs_getting-started_concepts.md#feature-set-all),受邀的帳戶必須具有此角色。如果組織僅支援[合併帳單](orgs_getting-started_concepts.md#feature-set-cb-only)功能集,您可以刪除此角色。如果您刪除此角色,並在稍後啟用組織中的所有功能, 會為帳戶 AWS Organizations 重新建立此角色。
**Organizations 不會自動建立 IAM 角色 `OrganizationAccountAccessRole`**
對於受邀的成員帳戶, AWS Organizations 不會自動建立 IAM 角色 [`OrganizationAccountAccessRole`](orgs_manage_accounts_access-cross-account-role.md)。該角色會授予管理帳戶中的使用者存取成員帳戶的管理權限。如果想要啟用對邀請帳戶的該層級管理控制,可以手動新增該角色。如需詳細資訊,請參閱[使用 為受邀帳戶建立 OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)。
**注意**
當您在組織中建立帳戶而非邀請現有帳戶加入時, `OrganizationAccountAccessRole`預設 AWS Organizations 會自動建立 IAM 角色。
**連接到包含帳戶的根或 OU 的政策會立即套用**
如果您有任何政策連接到根帳戶或包含受邀帳戶的組織單位 (OU),這些政策會立即套用至受邀帳戶中的所有使用者和角色。
您可以為組織的[其他服務啟用 AWS 服務信任](orgs_integrate_services_list.md)。當您這麼做時,該受信任的服務就可以在組織中的任何成員帳戶 (包括受邀的帳戶) 中,建立服務連結角色或執行動作。
**只有合併帳單功能集的組織仍然可以邀請帳戶**
您可以邀請帳戶加入只啟用合併帳單功能的組織。如果您稍後想要為組織啟用所有功能,受邀帳戶必須核准變更。
# 使用 傳送帳戶邀請 AWS Organizations
若要邀請帳戶加入您的組織,您必須先驗證您擁有與管理帳戶關聯的電子郵件地址。如需詳細資訊,請參閱[使用 的電子郵件地址驗證 AWS Organizations](about-email-verification.md)。在您驗證電子郵件地址之後,請完成下列步驟來邀請帳戶加入您的組織。
**最低許可**
若要邀請 AWS 帳戶 加入您的組織,您必須具有下列許可:
`organizations:DescribeOrganization` (僅限主控台)
`organizations:InviteAccountToOrganization`
------
#### [ AWS 管理主控台 ]
**邀請另一個帳戶加入組織**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 如果您已使用 驗證電子郵件地址 AWS,請略過此步驟。
如果您尚未驗證您的電子郵件地址,請在建立組織後 24 小時內遵循[驗證電子郵件](about-email-verification.md)中的指示。在您收到驗證電子郵件訊息之前,可能會有一些延遲的時間。驗證您的電子郵件地址之前,您不可邀請帳戶加入您的組織。
1. 導覽至 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面,然後選擇 **Add an AWS account** (新增 AWS 帳戶)。
1. 在 **[Add an AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** (新增) 頁面中,選擇 **Invite an existing AWS account** (邀請現有的 AWS 帳戶)。
1. 在**[邀請現有 AWS](https://console.aws.amazon.com/organizations/v2/home/accounts/add/invite)**頁面上,針對** AWS 帳戶 要邀請的電子郵件地址或帳戶 ID**,輸入與要邀請的帳戶相關聯的電子郵件地址,或其帳戶 ID 號碼。
1. (選用) 對於**要包含在邀請電子郵件訊息中的訊息**,輸入您要包含在傳送給受邀帳戶擁有者電子郵件邀請中的任何文字。
1. (選用) 在 **Add tags** (新增標籤) 區段中,指定一個或多個在帳戶管理員接受邀請後自動套用至帳戶的標記。若要執行此操作,請選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值。將值留空會將其設定為空白字串;而不是 `null`。您可以在 AWS 帳戶中連接最多 50 個標籤。
1. 選擇**傳送邀請**。
**重要**
如果您收到訊息,說明您已超出組織的帳戶配額,或因為您的組織仍在初始化而無法新增帳戶,請聯絡 [AWS 支援](https://console.aws.amazon.com/support/home#/)。
1. 主控台會將您重新導向至**[邀請](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**頁面,您可以在此處檢視所有開啟和已接受的邀請。您剛建立的邀請會出現在清單上方,並且其狀態設定為 **OPEN (開啟中)**。
AWS Organizations 會將邀請傳送至您邀請加入組織之帳戶擁有者的電子郵件地址。此電子郵件訊息包含 AWS Organizations 主控台的連結,其中帳戶擁有者可以檢視詳細資訊,並選擇接受或拒絕邀請。或者,受邀帳戶的擁有者可以略過電子郵件訊息、直接前往 AWS Organizations 主控台、檢視邀請,以及接受或拒絕邀請。
對此帳戶的邀請會立即計入您在組織中可以具有的帳戶數量上限。 AWS Organizations 不會等候直到帳戶接受邀請。如果獲邀請的帳戶拒絕,則管理帳戶會取消邀請。如果獲邀請的帳戶未在指定的時間期間內回應,則邀請會過期。在這兩種情況下,邀請不會計入您的配額。
------
#### [ AWS CLI & AWS SDKs ]
**邀請另一個帳戶加入組織**
您可以使用以下其中一個命令來邀請另一個帳戶加入您的組織:
+ AWS CLI: [invite-account-to-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/invite-account-to-organization.html)
```
$ aws organizations invite-account-to-organization \
--target '{"Type": "EMAIL", "Id": "juan@example.com"}' \
--notes "This is a request for Juan's account to join Bill's organization."
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "OPEN"
}
}
```
+ AWS SDKs: [InviteAccountToOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_InviteAccountToOrganization.html)
------
# 使用 管理待定帳戶邀請 AWS Organizations
登入到您的管理帳戶時,您可以檢視組織中的所有連結的 AWS 帳戶 ,以及取消任何等待中 (開啟) 的邀請。若要執行此動作,請執行下列步驟。
**最低許可**
若要管理組織的等待中邀請,您必須擁有以下許可:
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:ListHandshakesForOrganization`
`organizations:CancelHandshake`
------
#### [ AWS 管理主控台 ]
**檢視或取消從您的組織傳送到其他帳戶的邀請**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 導覽至**[邀請](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**頁面。
此頁面顯示從您的組織傳送的所有邀請及其目前狀態。
如果您看不到邀請,請檢查受邀帳戶是否為另一個組織的管理帳戶。只有成員帳戶和獨立帳戶才能接收邀請。管理帳戶無法接收邀請。
如果您想要邀請另一個組織中管理帳戶的帳戶,建議您將該帳戶設為獨立帳戶。
**注意**
已接受、已取消和已拒絕的邀請會繼續在清單中顯示 30 天。之後便會刪除它們,不再顯示在清單中。
1. 選擇您希望取消邀請旁邊的選項按鈕 ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/radio-button-selected.png),然後選擇 **Cancel invitation** (取消邀請)。如果選項按鈕呈現灰色,則無法取消該邀請。
邀請的狀態會從 **Open** (開啟) 變更為 **Canceled** (已取消)。
AWS 會傳送電子郵件訊息給帳戶擁有者,說明您已取消邀請。除非您傳送新的邀請,否則該帳戶不再可以加入組織。
------
#### [ AWS CLI & AWS SDKs ]
**檢視或取消從您的組織傳送到其他帳戶的邀請**
您可以使用以下命令來檢視或取消邀請:
+ AWS CLI: [list-handshakes-for-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-organization.html), [cancel-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/cancel-handshake.html)
+ 下列範例顯示此組織傳送給其他帳戶的邀請。
```
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Juan's account to join Bill's organization."
}
],
"State": "OPEN"
},
{
"Action": "INVITE",
"State":"ACCEPTED",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1.471797437427E9,
"Id": "h-examplehandshakeid222",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "anika@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1.469205437427E9,
"Resources": [
{
"Resources": [
{
"Type":"MASTER_EMAIL",
"Value":"bill@example.com"
},
{
"Type":"MASTER_NAME",
"Value":"Management Account"
}
],
"Type":"ORGANIZATION",
"Value":"o-exampleorgid"
},
{
"Type":"EMAIL",
"Value":"anika@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Anika's account to join Bill's organization."
}
]
}
]
}
```
下列範例顯示如何取消對帳戶的邀請。
```
$ aws organizations cancel-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Id": "h-examplehandshakeid111",
"State":"CANCELED",
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "susan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Type": "ORGANIZATION",
"Value": "o-exampleorgid",
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@example.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "CONSOLIDATED_BILLING"
}
]
},
{
"Type": "EMAIL",
"Value": "anika@example.com"
},
{
"Type": "NOTES",
"Value": "This is a request for Susan's account to join Bob's organization."
}
],
"RequestedTimestamp": 1.47008383521E9,
"ExpirationTimestamp": 1.47137983521E9
}
}
```
+ AWS SDKs:[ListHandshakesForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListHandshakesForOrganization.html)、[CancelHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CancelHandshake.html)
------
# 使用 接受或拒絕帳戶邀請 AWS Organizations
如果您收到加入組織的邀請,您可以接受或拒絕邀請。
## 考量事項
**組織帳戶的狀態會影響可看見的成本和用量資料**
如果成員帳戶離開組織而成為獨立帳戶,則帳戶一旦是組織之成員就無法再存取時間範圍內的成本和用量資料。帳戶只能存取做為獨立帳戶時所產生的資料。
如果成員帳戶離開組織 A 而加入組織 B,則此帳戶就無法再存取其做為組織 A 成員之時間範圍內來自組織 A 的成本和用量資料。帳戶只能存取做為組織 B 成員時所產生的資料。
如果帳戶重新加入先前所屬的組織,此帳戶會重新獲得對其過去成本與使用狀況資料的存取權。
**只有成員帳戶和獨立帳戶可以接受或拒絕邀請**
只有成員帳戶和獨立帳戶可接受或拒絕加入組織的邀請。如果邀請傳送到已屬於組織的管理帳戶,則該帳戶將無法檢視邀請,直到他們[從組織中移除所有成員帳戶](orgs_manage_accounts_remove.md)並[刪除組織](orgs_manage_org_delete.md)為止。
**CloudTrail 記錄會在採取 動作的帳戶中進行 **
如果成員帳戶或獨立帳戶接受或拒絕帳戶邀請,則該動作會記錄在動作帳戶的 CloudTrail 日誌中。如果代理帳戶是成員帳戶,則該動作將不會記錄在管理帳戶的 CloudTrail 日誌中。這與相關案例中的 CloudTrail 記錄一致 (例如 離開組織的成員帳戶將記錄在成員帳戶追蹤中,移除成員帳戶的管理帳戶將記錄在管理帳戶追蹤中)。
## 接受或拒絕帳戶邀請
若要接受或拒絕邀請,請完成下列步驟。
**最低許可**
若要接受或拒絕加入 組織的邀請,您必須擁有以下許可:
`organizations:ListHandshakesForAccount` – 在 AWS Organizations 主控台中查看邀請清單時需要。
`organizations:AcceptHandshake`.
`organizations:DeclineHandshake`.
`organizations:LeaveOrganization` – 只有在您的帳戶已經是組織的成員時,才需要接受邀請。
`iam:CreateServiceLinkedRole` – 只有在接受邀請需要在成員帳戶中建立服務連結角色以支援與其他 整合時才需要 AWS 服務。如需詳細資訊,請參閱[AWS Organizations 和服務連結角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。
------
#### [ AWS 管理主控台 ]
**接受或拒絕邀請**
1. 加入組織的邀請會傳送到帳戶擁有者的電子郵件地址。如果您是帳戶擁有者,而且您收到邀請電子郵件訊息,請依照電子郵件邀請中的指示,或前往您的瀏覽器中的 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2),然後選擇 **Invitations** (邀請),或直接前往**[成員帳戶的邀請](https://console.aws.amazon.com/organizations/v2/home/invitations)**頁面。
1. 如果提示,請以擔任 IAM 角色的 IAM 使用者身分登入或以帳戶的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 獲邀請的帳戶。
1. **[會員帳戶的邀請](https://console.aws.amazon.com/organizations/v2/home/invitations)**頁面顯示您的帳戶加入組織的未結邀請。
選擇 **Accept invitation** (接受邀請) 或 **Decline invitation** (拒絕邀請)。
+ 如果您在之前的步驟中選擇 **Accept invitation** (接受邀請),主控台會將您重新導向至 [Organization 概觀](https://console.aws.amazon.com/organizations/v2/home/dashboard)頁面,其中含有您的帳戶現在為其成員的組織的詳細資訊。您可以檢視組織的 ID 和擁有者的電子郵件地址。
**注意**
已接受的邀請會繼續在清單中顯示 30 天。之後便會刪除它們,不再顯示在清單中。
AWS Organizations 會在新成員帳戶中自動建立服務連結角色,以支援 AWS Organizations 和其他 之間的整合 AWS 服務。如需詳細資訊,請參閱[AWS Organizations 和服務連結角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。
AWS 會傳送電子郵件訊息給組織的管理帳戶的擁有者,說明您已接受邀請。它還會傳送一封電子郵件訊息給帳戶擁有者,說明帳戶現在為組織的成員。
+ 如果您在前面的步驟中選擇 **Decline** (拒絕),則您的帳戶會維持在列出任何其他等待中邀請的**[成員帳戶邀請](https://console.aws.amazon.com/organizations/v2/home/invitations)**頁面上。
AWS 會傳送電子郵件訊息給組織的管理帳戶擁有者,說明您拒絕邀請。
**注意**
已拒絕的邀請會繼續在清單中顯示 30 天。之後便會刪除它們,不再顯示在清單中。
------
#### [ AWS CLI & AWS SDKs ]
**接受或拒絕邀請**
您可以使用以下命令來接受或拒絕邀請:
+ AWS CLI: [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html), [decline-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/decline-handshake.html)
下列範例顯示如何接受對加入組織的邀請。
```
$ aws organizations accept-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"RequestedTimestamp": 1481656459.257,
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "ALL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "ACCEPTED"
}
}
```
下列範例顯示如何拒絕對加入組織的邀請。
+ AWS SDKs:[AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html)、[DeclineHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeclineHandshake.html)
------
# 使用 將帳戶遷移至另一個組織 AWS Organizations
您可以隨時 AWS 帳戶 將 從一個組織遷移到另一個組織。例如,當您需要 AWS 帳戶 從多個組織合併一或多個組織到一個組織時,遷移帳戶在合併和取得時很有幫助。
無論您的使用案例為何,在組織之間遷移帳戶都需要您從新組織的管理帳戶傳送邀請,並使用受邀帳戶接受加入新組織的邀請。
**注意**
**已關閉或暫停的帳戶無法遷移。**
您無法遷移已關閉或暫停的帳戶。若要回應帳戶,請聯絡 [支援](https://aws.amazon.com/contact-us/)。
**四天年齡要求**
若要遷移您在組織中建立的帳戶,您必須等到帳戶建立後至少四天。受邀的帳戶不受此等待期限的限制。
**在帳戶之間複寫資料**
下列 AWS 方案指引提供在下列位置複寫資料的策略相關資訊 AWS 帳戶:[資源複寫或在其中遷移 AWS 帳戶](https://docs.aws.amazon.com/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/resource-migration.html)。
## 遷移帳戶之前需要執行的動作
將您的 AWS 帳戶 從一個組織遷移到另一個組織之前,請確定您已完成以下步驟。
### 步驟 1:檢查您是否具有遷移 帳戶所需的 IAM 許可
#### 步驟 1
請確定您已套用將帳戶遷移至個別組織的必要許可。
**若要離開組織,您必須擁有下列許可:**
+ `organizations:DescribeOrganization` (僅限主控台)
+ `organizations:LeaveOrganization`
如需詳細資訊,請參閱[從成員帳戶離開組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_leave-as-member.html)。
**若要邀請 AWS 帳戶 加入組織,您必須具有下列許可:**
+ `organizations:DescribeOrganization` (僅限主控台)
+ `organizations:InviteAccountToOrganization`
如需詳細資訊,請參閱[邀請 AWS 帳戶 加入您的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。
**若要遷移帳戶,您無法擁有防止遷移的 IAM 政策或服務控制政策**
如果您是管理帳戶或委派管理員,您可以透過將許可政策連接到組織內的 IAM 身分 (使用者、群組和角色) 來控制對 AWS 資源的存取。如需詳細資訊,請參閱 [的 IAM 政策 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_iam-policies.html)。
在遷移帳戶之前:
+ 檢查沒有阻止您遷移帳戶的 IAM 政策或服務控制政策 (SCPs)。
+ 識別您在遷移帳戶的組織需要複寫的現有 IAM 政策和服務控制政策 (SCPs)。
+ 識別指定組織 ID 的現有 IAM 政策。例如 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid)。
如需詳細資訊,請參閱《[IAM 使用者指南》和服務控制政策 (SCP) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)*中的管理 IAM* [政策 SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
### 步驟 2:檢查您是否已移除允許存取舊管理帳戶的 IAM 許可
#### 步驟 2
請確定您已移除允許存取舊管理帳戶的 IAM 許可,例如 `OrganizationAccountAccessRole`。
當您從組織移除成員帳戶時,為啟用組織管理帳戶存取而建立的任何 IAM 角色都不會自動刪除。如果您想要終止之前的組織管理帳戶的這種存取權,就必須手動刪除 IAM 角色。
如需關於如何刪除角色的詳細資訊,請參閱 *IAM 使用者指南*中的[刪除角色或執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
### 步驟 3:備份所有報告
#### 步驟 3
請務必從管理帳戶匯出或備份報告,尤其是帳單報告。當您遷移帳戶時,不會儲存組織層級報告和歷史記錄。建議您執行所有帳單歷史記錄的完整匯出。您仍然可以存取成員帳戶的報告,例如 AWS CloudTrail 事件歷史記錄和帳戶帳單歷史記錄。
**重要**
從組織移除帳戶後,所有組織層級的報告和歷史記錄,例如管理帳戶中的組織帳單資訊,都會遭到刪除。
如需詳細資訊,請參閱[成本和用量報告](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html)、[Cost Explorer管報告](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html)、[Savings Plans 報告](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr),以及[預留執行個體 (RI) 使用率和涵蓋範圍](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer)。
### 步驟 4:檢查組織相依性
#### 步驟 4
請確定遷移帳戶沒有任何與組織相關的相依性。
**要檢查的相依性:**
+ 如果帳戶是委派管理員,您必須在遷移帳戶之前取消註冊委派管理員許可。如需詳細資訊,請參閱[您可以使用的服務 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)。
+ 如果帳戶是管理帳戶,您必須從組織中移除所有成員帳戶,並在遷移之前刪除組織。在您刪除組織之後,您的管理帳戶將做為獨立帳戶運作。遷移後,管理帳戶將成為新組織的成員帳戶。如需詳細資訊,請參閱[刪除組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html)。
+ 如果任何 IAM 許可取決於帳戶,在您將帳戶遷移至新組織之後,您將需要調整舊組織的許可,以便舊組織如往常一樣運作。如需詳細資訊,請參閱[管理組織的存取許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html)。
+ 如果您使用任何帳戶或組織單位 (OU) 標籤,則需要在新組織中重新建立標籤。
### (選用) 步驟 5:如果您使用 ,請檢閱指引 AWS Control Tower
#### (選用) 步驟 5
如果您要將帳戶遷移至 管理的組織或從中遷移 AWS Control Tower,請檢閱下列 AWS 規範性指引:[將 AWS 成員帳戶從 遷移 AWS Organizations 至 AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html) 。
## 您需要執行哪些動作來遷移 帳戶
遷移程序要求新組織向遷移帳戶傳送邀請,以及讓遷移帳戶接受來自新組織的邀請,以加入新組織。
**遷移 帳戶**
1. 從新組織的管理帳戶傳送邀請到遷移帳戶。如需邀請帳戶的相關資訊,請參閱[邀請 AWS 帳戶 加入您的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。
1. 接受加入新組織的邀請。如需詳細資訊,請參閱[接受來自組織的邀請](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite)。從另一個組織遷移到另一個組織的帳戶會自動新增至新組織的根目錄。將帳戶移至新組織中的組織單位 (OU) 之前,建議您檢查遷移帳戶是否具有適當的組織政策和 OU 許可。
1. 如果您想要遷移管理帳戶,您必須從組織[移除所有成員帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html),並在[將管理帳戶遷移至新組織之前刪除組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_delete.html)。刪除舊組織之後,您的管理帳戶將作為獨立帳戶運作,並且可以接受來自新組織的邀請,以加入新組織。如果您接受邀請,管理帳戶將是新組織的成員帳戶。
## 遷移帳戶後需要執行的動作
將您的帳戶從一個組織遷移到另一個組織之後,請確定您已完成以下步驟。
**遷移後審核**
1. 評估遷移帳戶的所有[帳單工具組態](https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-laying-the-foundation/reporting-cost-optimization-tools.html),例如成本類別、預算和帳單警示。
1. 針對您從一個組織遷移到另一個組織的任何帳戶,檢閱並更新下列貨幣資訊:
1. 如有必要,[請更新帳戶的稅務設定](https://repost.aws/knowledge-center/update-tax-registration-number)。
1. 確定遷移帳戶的[支援 計劃](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidatedbilling-support.html)符合新組織的付款人帳戶。
1. 檢閱您可能想要套用至您遷移帳戶的任何可能[免稅項目](https://aws.amazon.com/tax-help/united-states/)。
1. 驗證並確認遷移帳戶的現有 IAM 政策和服務控制政策 (SCPs)。例如,您可能需要更新某些 IAM 政策的組織 ID,以反映新組織。
1. 更新您遷移帳戶之新組織[的成本分配標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。您需要更新您遷移的帳戶收集的所有先前成本分配標籤。
1. 任何[預留執行個體](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-behavior.html)和 [Save Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html) 都會與 帳戶一起遷移。這些不會保留在舊組織中。 支援 如果需要將這些項目轉移到舊組織,請聯絡 。
# 在 中檢視帳戶的詳細資訊 AWS Organizations
當您在[AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)中登入組織的管理帳戶時,您可以檢視成員帳戶的詳細資訊。
**最低許可**
若要檢視 的詳細資訊 AWS 帳戶,您必須具有下列許可:
`organizations:DescribeAccount`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:ListAccounts` – 僅在使用 Organizations 主控台時才需要
------
#### [ AWS 管理主控台 ]
**檢視 的詳細資訊 AWS 帳戶**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 導覽至 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面,然後選擇您要檢查的帳戶名稱 (而非選項按鈕)。如果您所需的帳戶是 OU 的子項,您可能需要選擇三角形圖示 ![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/console-expand.png),以將其展開並查看其子項。重複此步驟,直到找到帳戶為止。
**Account details** (帳戶詳細資訊) 方塊會顯示帳戶的相關資訊。
------
#### [ AWS CLI & AWS SDKs ]
**檢視 的詳細資訊 AWS 帳戶**
您可以使用下列命令來檢視帳戶的詳細資訊:
+ AWS CLI:
+ [list-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html) – 列出組織中*所有*帳戶的詳細資訊
+ [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html) – 僅列出指定帳戶的詳細資訊
這兩個命令會針對回應中包含的每個帳戶傳回相同的詳細資訊。
以下範例顯示如何擷取指定帳戶的詳細資訊。
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ AWS SDKs:
+ [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
+ [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# 匯出 中所有帳戶的詳細資訊 AWS Organizations
透過 AWS Organizations,組織的管理帳戶使用者和委派管理員可以匯出具有組織內所有帳戶詳細資訊的 .csv 檔案。因此,組織管理員可以輕鬆檢視帳戶並依狀態篩選:`PENDING_ACTIVATION`、`ACTIVE`、`PENDING_CLOSURE`、 `SUSPENDED`或 `CLOSED`。如果您的組織有許多帳戶,.csv 檔案下載選項提供一種在試算表中輕鬆檢視及排序帳戶詳細資訊的方法。我們建議您產生新的 CSV 匯出,而不是使用先前儲存的版本來維護目前的帳戶資訊。
**重要**
我們在 2025 年 9 月 9 日從 AWS Organizations 主控台淘汰 `Accounts` 物件中的帳戶`Status`參數。帳戶匯出檔案現在會顯示 `State` 參數,而不是 `Status` 參數。使用匯出檔案的任何下游程序`Organization_accounts_information.csv`都應更新為使用 `State` 參數,而非 `Status`。
**注意**
只有管理帳戶中的主體可以下載帳戶清單。
## 匯出 AWS 帳戶 組織中所有 的清單
登入組織的管理帳戶時,您可以取得屬於組織一部分的所有帳戶的清單,格式為會 .csv 檔案。清單包含個別帳戶詳細資訊;但其未指出帳戶所屬的組織單位 (OU)。
.csv 檔案內含每個帳戶的以下資訊:
+ **Account ID** (帳戶 ID) – 帳戶識別碼。例如:123456789012
+ **ARN** – 帳戶的 Amazon 資源名稱。例如:`arn:aws:organizations::123456789012account/o-o1gb0d1234/123456789012`
+ **Email** – 與帳戶相關聯的電子郵件地址。例如:marymajor@example.com
+ **Name** (名稱) – 帳戶建立者提供的帳戶名稱。例如:階段測試帳戶
+ **Status** (狀態) – 組織內的帳戶狀態。此值可以是 `PENDING`、`ACTIVE` 或 `SUSPENDED`。
+ **狀態** - 組織內的操作帳戶狀態。值可以是 `PENDING_ACTIVATION`、`ACTIVE`、`PENDING_CLOSURE`、 `SUSPENDED`或 `CLOSED`。
+ **Joined method** (加入的方法) – 指定帳戶的建立方式。此值可以是 `INVITED` 或 `CREATED`。
+ **Joined timestamp** (加入時的時間戳記) – 帳戶加入組織的日期和時間。
**最低許可**
若要匯出您組織中所有成員帳戶的 .csv 檔案,您必須擁有以下許可:
`organizations:DescribeOrganization`
`organizations:ListAccounts`
------
#### [ AWS 管理主控台 ]
**匯出 AWS 帳戶 組織中所有 的 .csv 檔案**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 選擇**Actions** (動作),然後針對 **AWS 帳戶** 選擇 **Export account list** (匯出帳戶清單)。頁面頂端的藍色橫幅指示 "Export is in progress\$1" (「匯出進行中!」)
1. 當檔案準備就緒時,橫幅會變成綠色,並指示:"Download is ready\$1" (「下載已準備就緒!」) 選擇**下載 CSV**。檔案 `Organization_accounts_information.csv` 下載到您的裝置。
------
#### [ AWS CLI & AWS SDKs ]
匯出含有帳戶詳細資訊的 .csv 檔案的唯一方法是使用 AWS 管理主控台。您無法使用 AWS CLI匯出帳戶清單 .csv 檔案。
------
# 監控 的狀態 AWS 帳戶
AWS Organizations 提供快速評估組織中所有帳戶的運作狀態和操作狀態的方法。您可以使用 AWS Organizations 主控台中的**狀態**欄或透過 AWS Organizations APIs以程式設計方式檢視此資訊。這可讓您追蹤每個 AWS 帳戶 在其生命週期中的位置,從建立到關閉。
持續追蹤帳戶狀態可提供下列好處:
+ 快速識別需要注意或動作的帳戶
+ 簡化您的帳戶管理程序
+ 對資源配置和存取控制做出明智的決策
+ 在整個組織中維持更好的整體安全性和合規性
下表說明五個可能的帳戶狀態及其對您的 的影響 AWS 帳戶:
**帳戶狀態**
| State | Description |
| --- | --- |
| 待啟用 | 在此狀態下,帳戶無法使用,因為帳戶註冊程序已啟動但從未完成。帳戶持有人必須完成剩餘的註冊步驟,例如提供電話驗證或付款資訊。完成這些步驟後,帳戶會轉換為 ACTIVE 狀態。 |
| ACTIVE | 此狀態表示帳戶完全運作且可用。使用者可以根據帳戶的許可和組織政策,正常存取 AWS 服務和資源。啟動資源、管理服務和產生費用等一般 AWS 活動可能會在此狀態下發生。 |
| SUSPENDED | 在此狀態下,帳戶無法使用,因為 AWS 的存取受限。帳戶持有人仍然可以檢視帳單資訊和聯絡人 支援,他們可以解釋帳戶暫停的原因。 |
| 待關閉 | 此暫時狀態表示關閉帳戶的作用中請求,但關閉程序尚未完成。帳戶仍可正常運作,在處理關閉請求時仍可用來存取 AWS 服務。 AWS 處理關閉請求後,帳戶會轉換為關閉狀態。 |
| CLOSED | 此狀態表示帳戶在帳戶持有人或 的請求下關閉, AWS 並在啟動關閉後 90 天內顯示在 AWS Organizations 主控台中的帳戶名稱旁。在此期間,您無法存取 AWS 服務,但您可以聯絡 支援 來恢復帳戶或復原重要資料。在關閉後 90 天期間過後,帳戶會永久關閉,且不會再顯示在 AWS Organizations 主控台中。 |
## 檢視 的狀態 AWS 帳戶
您可以使用 AWS Organizations 主控台或以程式設計方式使用 `DescribeAccount`、 `ListAccounts`和 `ListAccountsForParent` APIs 來檢視帳戶狀態資訊。
**重要**
中的帳戶`Status`參數 AWS Organizations 將於 2026 年 9 月 9 日淘汰。雖然帳戶`State`和帳戶`Status`參數目前都可在 AWS Organizations APIs(`DescribeAccount`、`ListAccounts`、`ListAccountsForParent`) 中使用,但我們建議您更新指令碼或其他程式碼以使用 `State` 參數,而不是在 2026 年 9 月 9 `Status`日之前使用。
------
#### [ AWS 管理主控台 ]
**檢視 的狀態 AWS 帳戶**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 導覽至**[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)**頁面,並注意您要檢查的成員帳戶旁邊的**狀態**欄中的值。如果您想要查看的帳戶是 OU 的子項,您可能需要選擇 OU ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/console-expand.png)旁的三角形圖示,才能展開它並查看其子項。重複此步驟,直到找到帳戶為止。
**注意**
您也可以從 AWS Organizations 主控台的帳戶**詳細資訊**頁面檢視**狀態**欄位的值。
------
#### [ AWS CLI & AWS SDKs ]
**檢視 的狀態 AWS 帳戶**
您可以使用下列命令來檢視帳戶的狀態:
**注意**
若要檢視 API 回應中的帳戶狀態值,請使用 2 AWS CLI .29.0 版或更新版本,或 2025 年 9 月 9 日之後發行的 SDK 版本。我們建議您使用最新的 AWS CLI 或 SDK 版本做為最佳實務。如需詳細資訊,請參閱[AWS SDKs與工具參考指南》中的 開發套件與工具版本生命週期](https://docs.aws.amazon.com/sdkref/latest/guide/version-support-matrix.html)。 *AWS SDKs *
+ AWS CLI:
+ [list-accounts](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts.html) – 列出組織中*所有*帳戶的詳細資訊
+ [list-accounts-for-parent](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts-for-parent.html) – 列出組織中由指定目標根或組織單位 (OU) 包含*的所有*帳戶的詳細資訊
+ [describe-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html) – 僅列出指定帳戶的詳細資訊
這些命令會針對回應中包含的每個帳戶傳回相同的詳細資訊。
下列範例顯示如何擷取指定帳戶的詳細資訊,包括其`State`值。
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"State": "CLOSED",
"Status": "SUSPENDED",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ AWS SDKs:
+ [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)
+ [ListAccountsForParent](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccountsForParent.html)
+ [DescribeAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# 更新 中帳戶的替代聯絡人 AWS Organizations
您可以使用 Organizations 主控台,或以程式設計方式使用 CLI AWS 或 AWS SDKs 來更新組織內 AWS 帳戶的替代聯絡人。若要了解如何更新替代聯絡人,請參閱《* AWS 帳戶管理參考*》[AWS 帳戶 中的更新組織中任何 的替代聯絡人](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-alternate.html#manage-acct-update-contact-alternate-orgs.html)。
# 更新 中帳戶的主要聯絡資訊 AWS Organizations
您可以使用 Organizations 主控台,或以程式設計方式使用 CLI AWS 或 AWS SDKs 來更新組織內 AWS 帳戶的主要聯絡資訊。若要了解如何更新主要聯絡資訊,請參閱* AWS 《帳戶管理參考*》[AWS 帳戶 中的更新組織中任何 的主要聯絡人](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-contact-primary.html#manage-acct-update-contact-primary-orgs)。
# 中的 AWS 區域 帳戶更新 AWS Organizations
您可以使用 AWS Organizations 主控台 AWS 區域 ,為組織內的帳戶啟用更新。若要了解如何更新已啟用 AWS 區域,請參閱[《帳戶管理參考》 AWS 區域 中的在帳戶中啟用或停用](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html) 。 * AWS *