Eliminación de una cuenta de miembro de la organización con AWS Organizations - AWS Organizations
ConsideracionesEliminación de una cuenta de miembro de su organización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Eliminación de una cuenta de miembro de la organización con AWS Organizations

Al eliminar una cuenta de miembro, no se cierra la cuenta, sino que se elimina la cuenta de miembro de la organización. La cuenta de miembro anterior pasa a ser una Cuenta de AWS independiente que AWS Organizations ya no administra.

Posteriormente, la cuenta ya no estará sujeta a ninguna política y será responsable del pago de sus propias facturas. A la cuenta de administración de la organización ya no se le cobrará ningún gasto acumulado en la cuenta una vez que se haya retirado de la organización.

Consideraciones

Los roles de acceso de IAM creados por la cuenta de administración no se eliminan automáticamente

Cuando elimina una cuenta de miembro de la organización, no se eliminan automáticamente los roles de IAM que se hayan creado para permitir el acceso de la cuenta de administración de la organización. Si desea eliminar este acceso desde la cuenta de administración anterior de la organización, debe eliminar manualmente el rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte Eliminación de roles o perfiles de instancia en la Guía del usuario de IAM.

Puede eliminar una cuenta de la organización solo si la cuenta tiene la información que necesita para funcionar como cuenta independiente

Puede eliminar una cuenta de la organización solo si la cuenta tiene la información que necesita para funcionar como cuenta independiente. Cuando se crea una cuenta en una organización con la consola AWS Organizations , la API o los comandos de AWS CLI, no se recopila automáticamente toda la información necesaria para las cuentas independientes.

Por cada cuenta que desee convertir en independiente, deberá elegir un plan de soporte, proporcionar y verificar la información de contacto necesaria y proporcionar un método de pago. AWS utiliza el método de pago para cobrar cualquier actividad de AWS facturable (no AWS del nivel gratuito) que se produzca mientras la cuenta no esté asociada a una organización. Para eliminar una cuenta que aún no cuenta con esta información, siga los pasos que se indican en Abandono de una organización desde una cuenta de miembro con AWS Organizations.

Debe esperar al menos cuatro días después de que se cree la cuenta

Para eliminar una cuenta que se creó en la organización, debe esperar al menos cuatro días después de su creación. Las cuentas invitadas no están sujetas a este período de espera.

El propietario de la cuenta que abandona la organización pasa a ser responsable de todos los nuevos costos acumulados

En el momento en que la cuenta abandona con éxito la organización, el propietario de la Cuenta de AWS se hace responsable de todos los nuevos costos AWS acumulados, y se utiliza el método de pago de la cuenta. La cuenta de gestión de la organización ya no es responsable.

La cuenta no puede ser una cuenta de administrador delegado para cualquier servicio de AWS habilitado para la organización

La cuenta que desea eliminar no debe ser una cuenta de administrador delegada para cualquier servicio AWS habilitado para su organización. Si la cuenta es un administrador delegado, primero debe cambiar la cuenta de administrador delegada a otra cuenta que quede en la organización. Para obtener más información acerca de cómo deshabilitar o cambiar la cuenta de administrador delegado para un servicio de AWS, consulte la documentación correspondiente a dicho servicio.

La cuenta ya no tiene acceso a los datos de costo y uso

Si una cuenta de miembro deja una organización, esa cuenta ya no tiene acceso a los datos de costo y uso del intervalo de tiempo en el que la cuenta era miembro de la organización. Sin embargo, la cuenta de administración de la organización puede seguir obteniendo acceso a los datos. Si la cuenta se vuelve a unir a la organización, la cuenta puede obtener de nuevo acceso a esos datos.

Se eliminan las etiquetas adjuntas a la cuenta

Cuando una cuenta de miembro abandona una organización, se eliminan todas las etiquetas asociadas a la cuenta.

Las entidades principales de la cuenta ya no se verán afectadas por ninguna política de la organización

Las entidades principales de la cuenta ya no se verán afectadas por ninguna política que se aplique en la organización. Esto significa que las restricciones impuestas por esas SCP ya no existen, y que los usuarios y los roles de la cuenta podrían tener más permisos que antes. Otros tipos de políticas de la organización ya no se pueden aplicar ni procesar.

La cuenta ya no está cubierta por los acuerdos de la organización

Si una cuenta de miembro se elimina de una organización, dicha cuenta de miembro ya no estará cubierta por los acuerdos de la organización. Los administradores de cuentas de administración deben comunicar esto a las cuentas de miembro antes de eliminar las cuentas de miembro de la organización, para que dichas cuentas de miembro puedan formalizar nuevos acuerdos si es necesario. Puede consultar una lista de los acuerdos activos de la organización en la consola AWS Artifact en la página Acuerdos de Organization AWS Artifact.

La integración con otros servicios podría estar deshabilitada

La integración con otros servicios podría estar deshabilitada. Si elimina una cuenta de una organización que tiene integración con una AWS, los usuarios de esa cuenta ya no podrán utilizar dicho servicio.

Eliminación de una cuenta de miembro de su organización

Cuando inicie sesión en la cuenta de administración de la organización, puede quitar las cuentas de miembro de la organización que ya no necesite. Para ello, complete el procedimiento siguiente. Este procedimiento se aplica únicamente a las cuentas de miembro. Para eliminar la cuenta de administración, debe eliminar la organización.

Permisos mínimos

Para eliminar una o varias cuentas de miembro de la organización, debe iniciar sesión como usuario o rol en la cuenta de administración con los siguientes permisos:

  • organizations:DescribeOrganization: solo se requiere cuando se utiliza la consola de Organizations

  • organizations:RemoveAccountFromOrganization

Si decidió iniciar sesión como usuario o rol en una cuenta de miembro en el paso 5, ese usuario o rol debe tener los siguientes permisos:

  • organizations:DescribeOrganization: solo se requiere cuando se utiliza la consola de Organizations

  • organizations:LeaveOrganization; tenga en cuenta que el administrador de la organización puede aplicar una política a la cuenta que elimine este permiso, lo que le impedirá eliminar la cuenta de la organización.

  • Si inicia sesión como un usuario de IAM y la cuenta tiene información de pago faltante, el usuario debe tener permisos de aws-portal:ModifyBilling y de aws-portal:ModifyPaymentMethods (si la cuenta aún no ha migrado a permisos específicos) O permisos de payments:CreatePaymentInstrument y de payments:UpdatePaymentPreferences (si la cuenta ha migrado a permisos específicos). Además, la cuenta de miembro debe tener habilitado el acceso del usuario de IAM a la facturación. Si no está habilitado, consulte Activación del acceso a la consola Billing and Cost Management en la Guía del usuario de AWS Billing.

Consola de administración de AWS
Para eliminar una cuenta de miembro de su organización

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la pestaña Cuentas de AWS, busque y marque la casilla Blue checkmark icon indicating confirmation or completion of a task. junto a cada cuenta de miembro que desea eliminar de su organización. Puede navegar por la jerarquía de unidades organizativas o habilitar Ver solo Cuentas de AWS para ver una lista plana de cuentas sin la estructura de unidad organizativa. Si tiene muchas cuentas, puede que tenga que elegir Cargar más cuentas en 'Nombre de OU' en la parte inferior de la lista para encontrar todas las que desea mover.

    En la página Cuentas de AWS, busque y elija el nombre de la cuenta de miembro que desea eliminar de su organización. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la cuenta que desea.

  3. Seleccionar Acciones y, a continuación, en Cuenta de AWS, elija Eliminar de la organización.

  4. En el navegador ¿Eliminar cuenta 'Nombre de la cuenta' (#account-id) de la organización?, elija Eliminar la cuenta.

  5. Si AWS Organizations no consigue eliminar una o más de las cuentas, normalmente se debe a que no ha proporcionado toda la información necesaria para que la cuenta funcione como cuenta independiente. Siga estos pasos:

    1. Inicie sesión en la cuenta con errores. Le recomendamos que inicie sesión en la cuenta de miembro seleccionando Copy link y, a continuación, pegándolo en la barra de direcciones en una nueva ventana del navegador de incógnito. Si no ve el enlace Copiar, use este enlace para ir a la página Registrarse en AWS y complete los pasos de registro que faltan. Si no utiliza una ventana de incógnito, se cerrará la sesión de la cuenta de administración y no podrá navegar para volver a este cuadro de diálogo.

    2. El navegador le lleva directamente al proceso de registro para completar los pasos que falten para esta cuenta. Complete todos los pasos indicados. Esto podría incluir lo siguiente:

      • Proporcionar información de contacto

      • Proporcionar un método de pago válido

      • Verificar el número de teléfono

      • Seleccionar una opción de plan de soporte

    3. Al completar el último paso del registro, AWS redirige automáticamente su navegador a la consola de AWS Organizations de la cuenta de miembro. Seleccione Leave organization y confirme su selección en el cuadro de diálogo de confirmación. Se le redirigirá a la página Introducción de la consola de AWS Organizations, donde podrá ver las invitaciones pendientes de su cuenta para unirse a otras organizaciones.

    4. Elimine de la organización los roles de IAM que conceden acceso a su cuenta.

      importante

      Si la cuenta se creó en la organización, Organizations creó automáticamente un rol de IAM en la cuenta que habilitó el acceso de la cuenta de administración de la organización. Si la cuenta fue invitada a unirse, entonces Organizations no creó automáticamente dicho rol, pero usted u otro administrador podría haber creado uno para obtener los mismos beneficios. En cualquier caso, cuando quita la cuenta de la organización, dicho rol no se elimina automáticamente. Si desea terminar este acceso desde la cuenta de administración de la organización anterior, debe eliminar manualmente este rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte Eliminación de roles o perfiles de instancia en la Guía del usuario de IAM.

AWS CLI & AWS SDKs
Para eliminar una cuenta de miembro de su organización

Puede utilizar uno de los siguientes comandos para quitar una cuenta de miembro:

Una vez que se haya eliminado de la organización la cuenta de miembro, asegúrese de eliminar de la organización los roles de IAM que dan acceso a su cuenta.

importante

Si la cuenta se creó en la organización, Organizations creó automáticamente un rol de IAM en la cuenta que habilitó el acceso de la cuenta de administración de la organización. Si la cuenta fue invitada a unirse, entonces Organizations no creó automáticamente dicho rol, pero usted u otro administrador podría haber creado uno para obtener los mismos beneficios. En cualquier caso, cuando quita la cuenta de la organización, dicho rol no se elimina automáticamente. Si desea terminar este acceso desde la cuenta de administración de la organización anterior, debe eliminar manualmente este rol de IAM. Para obtener información acerca de cómo eliminar un rol, consulte Eliminación de roles o perfiles de instancia en la Guía del usuario de IAM.

En su lugar, las cuentas de los miembros pueden eliminarse a sí mismas con el comando leave-organization. Para obtener más información, consulte Abandono de una organización desde una cuenta de miembro con AWS Organizations.