AWS Organizations를 사용하여 해지하지 않도록 멤버 계정 보호 - AWS Organizations

AWS Organizations를 사용하여 해지하지 않도록 멤버 계정 보호

멤버 계정이 우발적으로 해지되지 않도록 보호하고 싶다면 IAM 정책을 생성하여 해지가 면제되는 계정을 지정할 수 있습니다. 이러한 정책으로 보호된 멤버 계정은 해지할 수 없습니다. SCP에서는 관리 계정의 보안 주체에 영향을 주지 않으므로 이 작업을 수행할 수 없습니다.

두 가지 방법 중 하나로 계정 해지를 거부하는 IAM 정책을 생성할 수 있습니다.

멤버 계정 해지를 방지하는 IAM 정책 예제

다음 코드 예제는 멤버 계정이 계정을 해지하지 못하도록 제한하는 데 사용할 수 있는 두 가지 방법을 보여줍니다.

태그가 있는 멤버 계정이 해지되지 않도록 방지

관리 계정의 자격 증명에 다음 정책을 연결할 수 있습니다. 이 정책은 aws:ResourceTag 태그 전역 조건AccountType 키, Critical 태그 값을 포함하여 태그 지정된 모든 멤버가 관리 계정의 보안 주체에 의해 해지되지 않도록 방지합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccountForTaggedAccts", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": "*", "Condition": { "StringEquals": {"aws:ResourceTag/AccountType": "Critical"} } } ] }

이 정책에 나열된 멤버 계정이 해지되지 않도록 방지

관리 계정의 자격 증명에 다음 정책을 연결할 수 있습니다. 이 정책은 관리 계정의 보안 주체가 Resource 요소에 명시적으로 지정된 멤버 계정을 해지하지 않도록 방지합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccount", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": [ "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012", "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014" ] } ] }