Protección de cuentas miembro contra el cierre con AWS Organizations

Si desea proteger una cuenta miembro de un cierre accidental, puede crear una política de IAM para especificar qué cuentas están exentas de cierre. No se puede cerrar ninguna cuenta de miembro que esté protegida con estas políticas. Esto no se puede lograr con una SCP, porque no afecta a las entidades principales en la cuenta de administración.

Puede crear una política de IAM que niegue el cierre de cuentas de dos formas:

Haga una lista explícita de cada cuenta que desea proteger en la política mediante la inclusión del arn en el elemento Resource. Para ver un ejemplo, consulte Evitar que las cuentas miembro enumeradas en esta política se cierren.
Etiquete cuentas individuales para evitar que se cierren. Utilice la clave de condición global de etiqueta aws:ResourceTag en la política para evitar que se cierre cualquier cuenta con esta etiqueta. Para obtener información sobre cómo etiquetar una cuenta, consulte Etiquetado de los recursos de Organizations. Para ver un ejemplo, consulte Evitar que las cuentas miembro con etiquetas se cierren .

Ejemplos de políticas de IAM que impiden los cierres de las cuentas miembro

Los siguientes ejemplos de código muestran dos métodos diferentes que puede utilizar para impedir que las cuentas miembro cierren sus cuentas.

Evitar que las cuentas miembro con etiquetas se cierren

Puede adjuntar la siguiente política a una identidad en su cuenta de administración. Esta política impide que las entidades principales de la cuenta de administración cierren cualquier cuenta de miembro etiquetada con la clave de condición global de etiqueta aws:ResourceTag, la clave AccountType y el valor de etiqueta Critical.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}

Evitar que las cuentas miembro enumeradas en esta política se cierren

Puede adjuntar la siguiente política a una identidad en su cuenta de administración. Esta política impide que las entidades principales de la cuenta de administración cierren las cuentas miembro especificadas de forma explícita en el elemento Resource.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cerrar una cuenta miembro

Eliminación de una cuenta miembro