를 사용하여 멤버 계정이 해지되지 않도록 보호 AWS Organizations - AWS Organizations
예제 IAM 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 멤버 계정이 해지되지 않도록 보호 AWS Organizations

멤버 계정이 실수로 해지되지 않도록 보호하려면 제외되는 계정을 지정하는 IAM 정책을 생성합니다. 이 정책은 보호된 멤버 계정의 해지를 방지합니다.

다음 방법 중 하나를 사용하여 계정 해지를 거부하는 IAM 정책을 생성합니다.

  • ARN을 사용하여 정책의 Resource 요소에 보호된 계정을 명시적으로 나열합니다. ARNs

  • 개별 계정에 태그를 지정하고 aws:ResourceTag 전역 조건 키를 사용하여 태그가 지정된 계정이 해지되지 않도록 합니다.

서비스 제어 정책은 멤버 계정을 보호할 수 없습니다.

SCP는 관리 계정의 IAM 보안 주체에 영향을 주지 않으므로 서비스 제어 정책(SCPs)은 멤버 계정을 분할할 수 없습니다.

멤버 계정 해지를 방지하는 IAM 정책 예제

다음 코드 예제는 멤버 계정이 계정을 해지하지 못하도록 제한하는 데 사용할 수 있는 두 가지 방법을 보여줍니다.

Prevent member accounts with tags from getting closed

관리 계정의 자격 증명에 다음 정책을 연결할 수 있습니다. 이 정책은 aws:ResourceTag 태그 전역 조건AccountType 키, Critical 태그 값을 포함하여 태그 지정된 모든 멤버가 관리 계정의 보안 주체에 의해 해지되지 않도록 방지합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
Prevent member accounts listed in this policy from getting closed

관리 계정의 자격 증명에 다음 정책을 연결할 수 있습니다. 이 정책은 관리 계정의 보안 주체가 Resource 요소에 명시적으로 지정된 멤버 계정을 해지하지 않도록 방지합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}