Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS
Configure alertas para encerramentos programáticos de contas no AWS Organizations - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasÉpicosRecursos relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure alertas para encerramentos programáticos de contas no AWS Organizations

PDF

Criado por Richard Milner-Watts (AWS), Debojit Bhadra (AWS) e Manav Yadav (AWS)

Resumo

A CloseAccount API para AWS Organizations permite que você feche contas de membros dentro de uma organização de forma programática, sem precisar fazer login na conta com credenciais raiz. A RemoveAccountFromOrganization API extrai uma conta de uma organização no AWS Organizations, então ela se torna uma conta independente.

Isso aumenta APIs potencialmente o número de operadores que podem fechar ou remover uma conta da AWS. Todos os usuários que têm acesso à organização por meio do AWS Identity and Access Management (IAM) na conta de gerenciamento do AWS Organizations podem ligar para eles APIs, portanto, o acesso não se limita ao proprietário do e-mail raiz da conta com qualquer dispositivo de autenticação multifator (MFA) associado.

Esse padrão implementa alertas quando o CloseAccount e RemoveAccountFromOrganization APIs é chamado, para que você possa monitorar essas atividades. Para alertas, ele usa um tópico do Amazon Simple Notification Service (Amazon SNS). Também é possível configurar as notificações do Slack usando um webhook.

Pré-requisitos e limitações

Pré-requisitos

  • Uma conta AWS ativa

  • Uma organização no AWS Organizations

  • Acesso à conta de gerenciamento da organização, sob a raiz da organização, para criar os recursos necessários

Limitações

  • Conforme descrito na referência da API do AWS Organizations, a API CloseAccount permite que apenas 10% das contas ativas dos membros sejam fechadas em um período contínuo de 30 dias.

  • Quando uma conta da AWS é fechada, seu status é alterado para SUSPENSO. Por 90 dias após essa transição de status, o AWS Support pode reabrir a conta. A conta é excluída permanentemente após 90 dias.

  • Usuários que têm acesso à conta de gerenciamento do AWS Organizations e também APIs podem ter permissões para desativar esses alertas. Se a principal preocupação for comportamento malicioso em vez de exclusão acidental, considere proteger os recursos criados por esse padrão com um limite de permissões do IAM.

  • A API chama por CloseAccount e RemoveAccountFromOrganization é processado na região Leste dos EUA (Norte da Virgínia) (us-east-1). Portanto, você deve implantar essa solução em us-east-1 para observar os eventos.

Arquitetura

Pilha de tecnologias de destino

  • AWS Organizations

  • AWS CloudTrail

  • Amazon EventBridge

  • AWS Lambda

  • Amazon SNS

Arquitetura de destino

O diagrama a seguir mostra a arquitetura da solução desse padrão.

Arquitetura para configurar alertas no AWS Organizations para encerramentos de contas

  1. O AWS Organizations processa uma solicitação CloseAccount ou RemoveAccountFromOrganization.

  2. A Amazon EventBridge está integrada à AWS CloudTrail para entregar esses eventos ao barramento de eventos padrão.

  3. Uma EventBridge regra personalizada da Amazon corresponde às solicitações do AWS Organizations e chama uma função do AWS Lambda.

  4. A função do Lambda entrega uma mensagem para um tópico do SNS, na qual os usuários podem se inscrever para receber alertas por e-mail ou processamento adicional.

  5. Se as notificações do Slack estiverem ativadas, a função do Lambda enviará uma mensagem para um webhook do Slack.

Ferramentas

Serviços da AWS

  • CloudFormationA AWS fornece uma forma de modelar uma coleção de recursos relacionados da AWS e de terceiros, provisioná-los de forma rápida e consistente e gerenciá-los ao longo de seus ciclos de vida, tratando a infraestrutura como código.

  • EventBridgeA Amazon é um serviço de ônibus de eventos sem servidor que você pode usar para conectar seus aplicativos a dados de várias fontes. EventBridge recebe um evento, um indicador de uma mudança no ambiente, e aplica uma regra para rotear o evento até um alvo. As regras fazem a correspondência entre os eventos e os destinos com base na estrutura do evento, chamada padrão do evento ou em um schedule.

  • O ‭‬AWS Lambda‭ é um serviço de computação que permite a execução do código sem provisionar ou gerenciar servidores O Lambda executa o código somente quando necessário e dimensiona automaticamente, desde algumas solicitações por dia a milhares por segundo. Você paga apenas pelo tempo de computação consumido. Não haverá cobranças quando seu código não estiver em execução.

  • O AWS Organizations ajuda a gerenciar e governar centralmente seu ambiente à medida que você expande e escala seus recursos da AWS da. Usando o AWS Organizations, você pode criar programaticamente novas contas da AWS e alocar recursos, agrupar contas para organizar seus fluxos de trabalho, aplicar políticas a contas ou grupos para fins de governança e simplificar o faturamento usando um único método de pagamento para todas as suas contas.

  • A AWS CloudTrail monitora e registra a atividade da conta em toda a sua infraestrutura da AWS e oferece controle sobre ações de armazenamento, análise e remediação.

  • O Amazon Simple Notification Service (Amazon SNS) é um serviço de mensagens totalmente gerenciado para comunicação (A2A) application-to-application e (A2P) application-to-person.

Outras ferramentas

Código

O código desse padrão está localizado no repositório do GitHub AWS Account Closer Notifier.

A solução inclui um CloudFormation modelo que implanta a arquitetura desse padrão. Ele usa a biblioteca AWS Lambda Powertools for Python para fornecer registro e rastreamento.

Épicos

TarefaDescriçãoHabilidades necessárias

Inicie o CloudFormation modelo para a pilha de soluções.

O CloudFormation modelo para esse padrão está na ramificação principal do GitHub repositório. Ele implanta as funções, EventBridge as regras, as funções do Lambda e o tópico do SNS do IAM.

Para iniciar o modelo:

  1. Clone o GitHub repositório para obter uma cópia do código da solução.

  2. Abra o Console de Gerenciamento da AWS para a conta de gerenciamento do AWS Organizations.

  3. Escolha a região Leste dos EUA (Norte da Virgíniaus-east-1) () e abra o CloudFormation console.

  4. Crie a pilha usando o modelo account-closure-notifier.yml e especificando os seguintes valores:  

    • Nome da pilha: aws-account-closure-notifier-stack 

    • ResourcePrefixparâmetro:aws-account-closure-notifier

    • SlackNotification parâmetro : se as notificações do Slack forem necessárias, altere essa configuração para true.

    • Parâmetro SlackWebhookEndpoint: se as notificações do Slack forem necessárias, especifique o URL do webhook.

Para obter mais informações sobre o lançamento de uma CloudFormation pilha, consulte a documentação da AWS.

Administrador da AWS

Verifique se a solução foi iniciada com sucesso.

  1. Aguarde até que a CloudFormation pilha alcance o status CREATE_COMPLETE.

  2. Abra o EventBridge console emus-east-1.

  3. Verifique se uma nova regra foi criada com o nome aws-account-closure-notifier-event-rule.

Administrador da AWS

Inscreva-se no tópico do SNS.

(Opcional) Se você quiser se inscrever no tópico do SNS:

  1. Abra o console do Amazon SNS em us-east-1 e encontre o tópico chamado aws-account-closure-notifier-sns-topic.

  2. Escolha o nome do tópico e, em seguida, escolha Criar inscrição.

  3. Em Protocolo, escolha E-mail.

  4. Em Endpoint, especifique um endereço de e-mail para receber a notificação e, em seguida, escolha Criar assinatura.

  5. Verifique sua caixa de entrada de e-mail para ver uma mensagem do AWS Notifications. Use o link no e-mail para confirmar a assinatura.

Para obter mais informações sobre como configurar as notificações do SNS, consulte a documentação do Amazon SNS.

Administrador da AWS

Implantar a arquitetura

TarefaDescriçãoHabilidades necessárias

Inicie o CloudFormation modelo para a pilha de soluções.

O CloudFormation modelo para esse padrão está na ramificação principal do GitHub repositório. Ele implanta as funções, EventBridge as regras, as funções do Lambda e o tópico do SNS do IAM.

Para iniciar o modelo:

  1. Clone o GitHub repositório para obter uma cópia do código da solução.

  2. Abra o Console de Gerenciamento da AWS para a conta de gerenciamento do AWS Organizations.

  3. Escolha a região Leste dos EUA (Norte da Virgíniaus-east-1) () e abra o CloudFormation console.

  4. Crie a pilha usando o modelo account-closure-notifier.yml e especificando os seguintes valores:  

    • Nome da pilha: aws-account-closure-notifier-stack 

    • ResourcePrefixparâmetro:aws-account-closure-notifier

    • SlackNotification parâmetro : se as notificações do Slack forem necessárias, altere essa configuração para true.

    • Parâmetro SlackWebhookEndpoint: se as notificações do Slack forem necessárias, especifique o URL do webhook.

Para obter mais informações sobre o lançamento de uma CloudFormation pilha, consulte a documentação da AWS.

Administrador da AWS

Verifique se a solução foi iniciada com sucesso.

  1. Aguarde até que a CloudFormation pilha alcance o status CREATE_COMPLETE.

  2. Abra o EventBridge console emus-east-1.

  3. Verifique se uma nova regra foi criada com o nome aws-account-closure-notifier-event-rule.

Administrador da AWS

Inscreva-se no tópico do SNS.

(Opcional) Se você quiser se inscrever no tópico do SNS:

  1. Abra o console do Amazon SNS em us-east-1 e encontre o tópico chamado aws-account-closure-notifier-sns-topic.

  2. Escolha o nome do tópico e, em seguida, escolha Criar inscrição.

  3. Em Protocolo, escolha E-mail.

  4. Em Endpoint, especifique um endereço de e-mail para receber a notificação e, em seguida, escolha Criar assinatura.

  5. Verifique sua caixa de entrada de e-mail para ver uma mensagem do AWS Notifications. Use o link no e-mail para confirmar a assinatura.

Para obter mais informações sobre como configurar as notificações do SNS, consulte a documentação do Amazon SNS.

Administrador da AWS
TarefaDescriçãoHabilidades necessárias

Envie um evento de teste ao barramento de eventos padrão.

O GitHub repositório fornece um evento de amostra que você pode enviar para o barramento de eventos EventBridge padrão para teste. A EventBridge regra também reage aos eventos que usam a fonte account.closure.notifier de eventos personalizada.

nota

Você não pode usar a fonte do CloudTrail evento para enviar esse evento, porque não é possível enviar um evento como um serviço da AWS.

Para enviar um evento de teste:

  1. Abra o EventBridge console emus-east-1.

  2. No painel de navegação, em Barramentos, escolha Barramentos de eventos e selecione o barramento de eventos padrão.

  3. Escolha Enviar eventos.

  4. Em Origem do evento, insira account.closure.notifier.

  5. Em Tipo de detalhe, insira AWS API Call via CloudTrail.

  6. Para detalhes do evento, copie e cole o conteúdo tests/dummy-event.json do GitHub repositório na caixa de texto.

  7. Escolha Enviar  para iniciar o fluxo de trabalho de notificação.

Administrador da AWS

Verifique se a notificação por e-mail foi recebida.

Verifique se há notificações na caixa de correio que se inscreveu no tópico do SNS. Você deve receber um e-mail com detalhes da conta que foi fechada e da entidade principal que realizou a chamada de API.

Administrador da AWS

Verifique se a notificação do Slack foi recebida.

(Opcional) Se você especificou uma URL de webhook para o SlackWebhookEndpoint parâmetro ao implantar o CloudFormation modelo, verifique o canal do Slack que está mapeado para o webhook. Ele deve exibir uma mensagem com detalhes da conta que foi fechada e da entidade principal que realizou a chamada de API.

Administrador da AWS

Verifique a solução

TarefaDescriçãoHabilidades necessárias

Envie um evento de teste ao barramento de eventos padrão.

O GitHub repositório fornece um evento de amostra que você pode enviar para o barramento de eventos EventBridge padrão para teste. A EventBridge regra também reage aos eventos que usam a fonte account.closure.notifier de eventos personalizada.

nota

Você não pode usar a fonte do CloudTrail evento para enviar esse evento, porque não é possível enviar um evento como um serviço da AWS.

Para enviar um evento de teste:

  1. Abra o EventBridge console emus-east-1.

  2. No painel de navegação, em Barramentos, escolha Barramentos de eventos e selecione o barramento de eventos padrão.

  3. Escolha Enviar eventos.

  4. Em Origem do evento, insira account.closure.notifier.

  5. Em Tipo de detalhe, insira AWS API Call via CloudTrail.

  6. Para detalhes do evento, copie e cole o conteúdo tests/dummy-event.json do GitHub repositório na caixa de texto.

  7. Escolha Enviar  para iniciar o fluxo de trabalho de notificação.

Administrador da AWS

Verifique se a notificação por e-mail foi recebida.

Verifique se há notificações na caixa de correio que se inscreveu no tópico do SNS. Você deve receber um e-mail com detalhes da conta que foi fechada e da entidade principal que realizou a chamada de API.

Administrador da AWS

Verifique se a notificação do Slack foi recebida.

(Opcional) Se você especificou uma URL de webhook para o SlackWebhookEndpoint parâmetro ao implantar o CloudFormation modelo, verifique o canal do Slack que está mapeado para o webhook. Ele deve exibir uma mensagem com detalhes da conta que foi fechada e da entidade principal que realizou a chamada de API.

Administrador da AWS

Recursos relacionados

Próximo tópico:

Mais padrões

Precisa de ajuda?

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.