Melindungi akun anggota dari penutupan AWS Organizations

Jika Anda ingin melindungi akun anggota dari penutupan yang tidak disengaja, Anda dapat membuat IAM kebijakan untuk menentukan akun mana yang dibebaskan dari penutupan. Setiap akun anggota yang dilindungi dengan kebijakan ini tidak dapat ditutup. Ini tidak dapat dicapai denganSCP, karena mereka tidak mempengaruhi kepala sekolah di akun manajemen.

Anda dapat membuat IAM kebijakan yang menolak penutupan akun dengan salah satu dari dua cara:

Secara eksplisit mencantumkan setiap akun yang ingin Anda lindungi dalam kebijakan dengan memasukkan elemen arn dalamResource. Untuk melihat contoh, lihatMencegah akun anggota yang tercantum dalam kebijakan ini agar tidak ditutup.
Tandai akun individu untuk mencegahnya ditutup. Gunakan kunci kondisi global aws:ResourceTag tag dalam kebijakan Anda untuk mencegah akun dengan tag ditutup. Untuk mempelajari cara menandai akun, lihat Menandai sumber daya Organizations. Untuk melihat contoh, lihatMencegah akun anggota dengan tag agar tidak ditutup .

Contoh IAM kebijakan yang mencegah penutupan akun anggota

Contoh kode berikut menunjukkan dua metode berbeda yang dapat Anda gunakan untuk membatasi akun anggota agar tidak menutup akun mereka.

Mencegah akun anggota dengan tag agar tidak ditutup

Anda dapat melampirkan kebijakan berikut ke identitas di akun manajemen Anda. Kebijakan ini mencegah prinsipal di akun manajemen menutup akun anggota yang ditandai dengan kunci kondisi global aws:ResourceTag tag, kunci, dan nilai AccountType tag. Critical


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}

Mencegah akun anggota yang tercantum dalam kebijakan ini agar tidak ditutup

Anda dapat melampirkan kebijakan berikut ke identitas di akun manajemen Anda. Kebijakan ini mencegah prinsipal di akun manajemen menutup akun anggota yang secara eksplisit ditentukan dalam elemen. Resource


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Tutup akun anggota

Menghapus akun anggota