Protéger les comptes des membres contre la fermeture avec AWS Organizations - AWS Organizations
Exemple de politiques IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protéger les comptes des membres contre la fermeture avec AWS Organizations

Pour protéger les comptes des membres contre toute fermeture accidentelle, créez une politique IAM qui précise quels comptes sont exemptés. Cette politique empêche la fermeture des comptes de membres protégés.

Créez une politique IAM pour refuser la fermeture du compte en utilisant l'une des méthodes suivantes :

  • Répertoriez explicitement les comptes protégés dans l'Resourceélément de la politique en utilisant leur ARNs.

  • Marquez les comptes individuels et utilisez la clé de condition aws:ResourceTag globale pour empêcher la fermeture des comptes étiquetés.

Les politiques de contrôle des services ne peuvent pas protéger les comptes des membres

Les politiques de contrôle des services (SCPs) ne peuvent pas protéger les comptes des membres car elles SCPs n'affectent pas les principaux IAM du compte de gestion.

Exemples de politiques IAM qui empêchent la clôture de comptes membres

Les exemples de code suivants montrent deux méthodes différentes que vous pouvez utiliser pour empêcher les comptes des membres de fermer leur compte.

Prevent member accounts with tags from getting closed

Vous pouvez attacher la politique suivante à une identité de votre compte de gestion. Cette politique empêche les principaux du compte de gestion de clôturer tout compte membre labelisé avec la clé de condition globale d'identification aws:ResourceTag, leAccountTypeKey etCriticalvaleur de balise.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
Prevent member accounts listed in this policy from getting closed

Vous pouvez attacher la politique suivante à une identité de votre compte de gestion. Cette politique empêche les principaux du compte de gestion de clôturer les comptes membres explicitement spécifiés dans l'élément Resource. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}