AWS Organizations를 사용하여 해지하지 않도록 멤버 계정 보호
멤버 계정이 우발적으로 해지되지 않도록 보호하고 싶다면 IAM 정책을 생성하여 해지가 면제되는 계정을 지정할 수 있습니다. 이러한 정책으로 보호된 멤버 계정은 해지할 수 없습니다. SCP에서는 관리 계정의 보안 주체에 영향을 주지 않으므로 이 작업을 수행할 수 없습니다.
두 가지 방법 중 하나로 계정 해지를 거부하는 IAM 정책을 생성할 수 있습니다.
-
Resource
요소에 보호하려는 각 계정의arn
을 포함하여 정책에 명시적으로 나열합니다. 예제는 이 정책에 나열된 멤버 계정이 해지되지 않도록 방지 섹션을 참조하세요. -
개별 계정에 태그를 지정하여 계정이 해지되지 않도록 방지합니다. 정책에
aws:ResourceTag
태그 전역 조건 키를 사용하여 태그가 있는 계정이 해지되지 않도록 방지합니다. 계정에 태그를 지정하는 방법은 Organizations 리소스 태그 지정을 참조하세요. 예제는 태그가 있는 멤버 계정이 해지되지 않도록 방지 섹션을 참조하세요.
멤버 계정 해지를 방지하는 IAM 정책 예제
다음 코드 예제는 멤버 계정이 계정을 해지하지 못하도록 제한하는 데 사용할 수 있는 두 가지 방법을 보여줍니다.
태그가 있는 멤버 계정이 해지되지 않도록 방지
관리 계정의 자격 증명에 다음 정책을 연결할 수 있습니다. 이 정책은 aws:ResourceTag
태그 전역 조건AccountType
키, Critical
태그 값을 포함하여 태그 지정된 모든 멤버가 관리 계정의 보안 주체에 의해 해지되지 않도록 방지합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccountForTaggedAccts", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": "*", "Condition": { "StringEquals": {"aws:ResourceTag/AccountType": "Critical"} } } ] }
이 정책에 나열된 멤버 계정이 해지되지 않도록 방지
관리 계정의 자격 증명에 다음 정책을 연결할 수 있습니다. 이 정책은 관리 계정의 보안 주체가 Resource
요소에 명시적으로 지정된 멤버 계정을 해지하지 않도록 방지합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccount", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": [ "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012", "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014" ] } ] }