Protegendo as contas dos membros contra o encerramento com AWS Organizations

Se quiser proteger a conta de um membro contra o encerramento acidental, você pode criar uma IAM política para especificar quais contas estão isentas de encerramento. Não é possível encerrar nenhuma conta-membro protegida com essas políticas. Isso não pode ser feito com umSCP, porque eles não afetam os diretores na conta de gerenciamento.

Você pode criar uma IAM política que negue o fechamento de contas de duas maneiras:

Listar explicitamente na política cada conta que deseja proteger incluindo o arn no elemento Resource. Para ver um exemplo, consulte Impedir que as contas-membro listadas nesta política sejam fechadas.
Etiquetar contas individuais para impedir que elas sejam encerradas. Use a chave de condição global da etiqueta aws:ResourceTag em sua política para evitar que qualquer conta com a etiqueta seja encerrada. Para saber como etiquetar uma conta, consulte Etiquetar recursos do Organizations. Para ver um exemplo, consulte Impedir que contas-membro com tags sejam fechadas .

Exemplos de IAM políticas que evitam o encerramento de contas de membros

Os exemplos de código a seguir mostram dois métodos diferentes que você pode usar para impedir que as contas dos membros fechem suas contas.

Impedir que contas-membro com tags sejam fechadas

É possível anexar a seguinte política a uma identidade na sua conta de gerenciamento. Essa política impede que as entidades principais na conta de gerenciamento encerrem qualquer conta-membro que esteja marcada com a chave de condição global da etiqueta aws:ResourceTag, a chave AccountType e o valor de chave Critical.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}

Impedir que as contas-membro listadas nesta política sejam fechadas

É possível anexar a seguinte política a uma identidade na sua conta de gerenciamento. Essa política impede que entidades principais na conta de gerenciamento encerrem contas-membro especificadas no elemento Resource.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Fechar uma conta-membro

Remover uma conta-membro