Protéger les comptes des membres contre la fermeture avec AWS Organizations

Si vous souhaitez protéger le compte d'un membre contre toute fermeture accidentelle, vous pouvez créer une IAM politique pour spécifier quels comptes sont exemptés de fermeture. Aucun compte membre protégé par ces politiques ne peut être clôturé. Cela ne peut pas être accompli avec unSCP, car ils n'affectent pas les principaux du compte de gestion.

Vous pouvez créer une IAM politique interdisant la fermeture de comptes de deux manières :

Indiquer explicitement chaque compte que vous souhaitez protéger dans la politique en incluant l'arn dans l'élément Resource. Vous trouverez un exemple dans Protection des comptes membres répertoriés dans cette politique contre la clôture.
Étiqueter les comptes individuels pour éviter qu'ils ne soient clôturés. Utilisez la clé de condition globale d'identification aws:ResourceTag dans votre politique pour empêcher la clôture de tout compte labelisé. Pour savoir comment étiqueter un compte, consultez Étiquetage des ressources Organizations. Vous trouverez un exemple dans Protection des comptes membres auxquels une balise est associée contre la clôture .

Exemples IAM de politiques qui empêchent la fermeture de comptes de membres

Les exemples de code suivants montrent deux méthodes différentes que vous pouvez utiliser pour empêcher les comptes des membres de fermer leur compte.

Protection des comptes membres auxquels une balise est associée contre la clôture

Vous pouvez attacher la politique suivante à une identité de votre compte de gestion. Cette politique empêche les principaux du compte de gestion de clôturer tout compte membre labelisé avec la clé de condition globale d'identification aws:ResourceTag, leAccountTypeKey etCriticalvaleur de balise.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}

Protection des comptes membres répertoriés dans cette politique contre la clôture

Vous pouvez attacher la politique suivante à une identité de votre compte de gestion. Cette politique empêche les principaux du compte de gestion de clôturer les comptes membres explicitement spécifiés dans l'élément Resource.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Clôture d'un compte membre

Suppression d'un compte membre