Proteggere gli account dei membri dalla chiusura con AWS Organizations - AWS Organizations
Policy IAM di esempio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Proteggere gli account dei membri dalla chiusura con AWS Organizations

Per proteggere gli account dei membri dalla chiusura accidentale, crea una policy IAM che specifichi quali account sono esenti. Questa politica impedisce la chiusura degli account dei membri protetti.

Crea una policy IAM per negare la chiusura dell'account utilizzando uno di questi metodi:

  • Elenca esplicitamente gli account protetti nell'Resourceelemento della policy utilizzando il loro. ARNs

  • Etichetta i singoli account e utilizza la chiave di condizione aws:ResourceTag globale per impedire la chiusura degli account taggati.

Le politiche di controllo del servizio non possono proteggere gli account dei membri

Le politiche di controllo dei servizi (SCPs) non possono proteggere gli account dei membri perché SCPs non influiscono sui principi IAM nell'account di gestione.

Esempio di policy IAM che impediscono la chiusura di un account membro

I seguenti esempi di codice mostrano due diversi metodi che è possibile utilizzare per impedire agli account dei membri di chiudere i propri account.

Prevent member accounts with tags from getting closed

Puoi associare la seguente policy a un'identità nell'account di gestione. Questa policy impedisce ai principali nell'account di gestione di chiudere qualsiasi account membro contrassegnato con la chiave di condizione globale del tag aws:ResourceTag, la chiave AccountType e il valore di tag Critical.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
Prevent member accounts listed in this policy from getting closed

Puoi associare la seguente policy a un'identità nell'account di gestione. Questa policy impedisce ai principali nell'account di gestione di chiudere gli account membri esplicitamente specificati nell'elemento Resource. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}