Proteger las cuentas de los miembros contra el cierre con AWS Organizations - AWS Organizations
Ejemplos de políticas de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Proteger las cuentas de los miembros contra el cierre con AWS Organizations

Para proteger las cuentas de los miembros del cierre accidental, cree una política de IAM que especifique qué cuentas están exentas. Esta política impide el cierre de las cuentas de los miembros protegidas.

Cree una política de IAM para denegar el cierre de cuentas mediante uno de estos métodos:

  • Enumere de forma explícita las cuentas protegidas en el Resource elemento de la política utilizando sus. ARNs

  • Etiquete las cuentas individuales y utilice la clave de condición aws:ResourceTag global para evitar el cierre de las cuentas etiquetadas.

Las políticas de control de servicios no pueden proteger las cuentas de los miembros

Las políticas de control de servicios (SCPs) no pueden proteger las cuentas de los miembros porque SCPs no afectan a los directores de IAM de la cuenta de administración.

Ejemplos de políticas de IAM que impiden los cierres de las cuentas de miembro

Los siguientes ejemplos de código muestran dos métodos diferentes que puede utilizar para impedir que las cuentas de miembro cierren sus cuentas.

Prevent member accounts with tags from getting closed

Puede adjuntar la siguiente política a una identidad en su cuenta de administración. Esta política impide que las entidades principales de la cuenta de administración cierren cualquier cuenta de miembro etiquetada con la clave de condición global de etiqueta aws:ResourceTag, la clave AccountType y el valor de etiqueta Critical.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
Prevent member accounts listed in this policy from getting closed

Puede adjuntar la siguiente política a una identidad en su cuenta de administración. Esta política impide que las entidades principales de la cuenta de administración cierren las cuentas de miembro especificadas de forma explícita en el elemento Resource. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}