Proteggere gli account dei membri dalla chiusura con AWS Organizations

Se desideri proteggere un account membro dalla chiusura accidentale, puoi creare una IAM politica per specificare quali account sono esenti dalla chiusura. Gli account membri protetti attraverso queste policy non possono essere chiusi. Ciò non può essere realizzato con unSCP, perché non influiscono sui principali dell'account di gestione.

Puoi creare una IAM politica che vieti la chiusura degli account in due modi:

Elencando esplicitamente ogni account da proteggere nella policy includendo l'arn nell'elemento Resource. Per un esempio, consulta la sezione Impedire la chiusura degli account membri elencati in questa policy.
Aggiungendo un tag ai singoli account per proteggerli dalla chiusura. Utilizza la chiave di condizione globale del tag aws:ResourceTag nella policy per impedire la chiusura di qualsiasi account taggato in questo modo. Per ulteriori informazioni su come taggare un account, consulta la sezione Aggiunta di tag alle risorse di Organizations. Per un esempio, consulta la sezione Impedire la chiusura di account membri con tag .

Esempi IAM di politiche che impediscono la chiusura degli account dei membri

I seguenti esempi di codice mostrano due diversi metodi che è possibile utilizzare per impedire agli account dei membri di chiudere i propri account.

Impedire la chiusura di account membri con tag

Puoi associare la seguente policy a un'identità nell'account di gestione. Questa policy impedisce ai principali nell'account di gestione di chiudere qualsiasi account membro contrassegnato con la chiave di condizione globale del tag aws:ResourceTag, la chiave AccountType e il valore di tag Critical.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}

Impedire la chiusura degli account membri elencati in questa policy

Puoi associare la seguente policy a un'identità nell'account di gestione. Questa policy impedisce ai principali nell'account di gestione di chiudere gli account membri esplicitamente specificati nell'elemento Resource.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Chiusura di un account membro

Rimozione di un account membro