Schutz von Mitgliedskonten vor Schließung mit AWS Organizations

Wenn Sie ein Mitgliedskonto vor einer versehentlichen Schließung schützen möchten, können Sie eine IAM Richtlinie erstellen, um festzulegen, welche Konten von der Schließung ausgenommen sind. Jedes mit diesen Richtlinien geschützte Mitgliedskonto kann nicht geschlossen werden. Dies ist mit einem nicht möglichSCP, da sie keine Auswirkungen auf die Hauptbenutzer im Verwaltungskonto haben.

Sie können eine IAM Richtlinie erstellen, die das Schließen von Konten auf zwei Arten verweigert:

Führen Sie jedes Konto, das Sie schützen möchten, explizit in der Richtlinie auf, indem Sie den arn in das Resource-Element einfügen. Beispiele finden Sie unter Verhindern, dass Mitgliederkonten, die in dieser Richtlinie aufgeführt sind, geschlossen werden.
Markieren Sie einzelne Konten, um zu verhindern, dass sie geschlossen werden. Verwenden Sie den globalen Bedingungsschlüssel des aws:ResourceTag-Tags in Ihrer Richtlinie, um zu verhindern, dass Konten mit dem Tag geschlossen werden. Informationen zum Markieren eines Kontos finden Sie unter Markieren von Organisationsressourcen. Beispiele finden Sie unter Verhindern Sie, dass Mitgliedskonten mit den Tags geschlossen werden .

IAMBeispielrichtlinien, die das Schließen von Mitgliedskonten verhindern

Die folgenden Codebeispiele zeigen zwei verschiedene Methoden, mit denen Sie verhindern können, dass Mitgliedskonten ihr Konto schließen.

Verhindern Sie, dass Mitgliedskonten mit den Tags geschlossen werden

Sie können die folgende Richtlinie an eine Identität in Ihrem Verwaltungskonto anfügen. Diese Richtlinie hindert Prinzipale im Verwaltungskonto daran, Mitgliedskonten zu schließen, die mit dem globalen Bedingungsschlüssel des aws:ResourceTag-Tags, dem AccountType-Schlüssel und dem Critical-Tag-Wert gekennzeichnet sind.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}

Verhindern, dass Mitgliederkonten, die in dieser Richtlinie aufgeführt sind, geschlossen werden

Sie können die folgende Richtlinie an eine Identität in Ihrem Verwaltungskonto anfügen. Diese Richtlinie verhindert, dass Prinzipale im Verwaltungskonto Mitgliederkonten schließen, die explizit im Resource-Element angegeben wurden.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schließen eines Mitgliedskontos

Entfernen eines Mitgliedskontos