AWS Organizations でメンバーアカウントが閉鎖されないように保護する

メンバーアカウントが誤って閉鎖されないように保護したい場合、IAM ポリシーを作成して、閉鎖されないようにするアカウントを指定することができます。これらのポリシーで保護されているメンバーアカウントは閉鎖されません。SCP では、管理アカウントのプリンシパルに影響しないため、この操作を実行できません。

アカウントの閉鎖を拒否する IAM ポリシーは、次の 2 つの方法のいずれかで作成できます。

Resource エレメントに arn を含めることにより、ポリシーで保護するアカウントを明示的にリストする。例については、「このポリシーに記載されているメンバーアカウントが閉鎖されないようにする」を参照してください。
個々のアカウントにタグを付けて、アカウントが閉鎖されないようにする。ポリシー内で aws:ResourceTag タググローバル条件キーを使用して、タグを付けたアカウントが閉鎖されないようにします。アカウントにタグを付ける方法については、「Organizations リソースのタグ付け」を参照してください。例については、「タグ付きのメンバーアカウントが閉鎖されないようにする」を参照してください。

メンバーアカウントが閉鎖されないようにする IAM ポリシーの例

次のコード例では、メンバーアカウントがアカウントを閉鎖するのを制限するために使用できる方法を 2 つ紹介します。

タグ付きのメンバーアカウントが閉鎖されないようにする

管理アカウントの ID に次のポリシーをアタッチできます。このポリシーにより、管理アカウントのプリンシパルは、aws:ResourceTag タググローバル条件キー、AccountType キー、および Critical タグ値がタグ付けされているメンバーアカウントを閉鎖できなくなります。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}

このポリシーに記載されているメンバーアカウントが閉鎖されないようにする

管理アカウントの ID に次のポリシーをアタッチできます。このポリシーにより、管理アカウントのプリンシパルは、Resource エレメントで明示的に指定されたメンバーアカウントを閉鎖できなくなります。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

メンバーアカウントの閉鎖

メンバーアカウントの削除