Como proteger contas-membro contra encerramento com o AWS Organizations

Para proteger uma conta-membro o fechamento acidental, você pode criar uma política do IAM para especificar quais contas são isentas de fechamento. Não é possível encerrar nenhuma conta-membro protegida com essas políticas. Também não é possível fazer isso usando uma SCP, pois elas não afetam entidades principais na conta de gerenciamento.

Há duas maneiras de criar uma política do IAM que recuse o encerramento de contas:

Listar explicitamente na política cada conta que deseja proteger incluindo o arn no elemento Resource. Para ver um exemplo, consulte Impedir que as contas-membro listadas nesta política sejam fechadas.
Etiquetar contas individuais para impedir que elas sejam encerradas. Use a chave de condição global da etiqueta aws:ResourceTag em sua política para evitar que qualquer conta com a etiqueta seja encerrada. Para saber como etiquetar uma conta, consulte Etiquetar recursos do Organizations. Para ver um exemplo, consulte Impedir que contas-membro com tags sejam fechadas .

Exemplos de políticas do IAM que impedem fechamentos de contas-membro

Os exemplos de código a seguir mostram dois métodos diferentes que você pode usar para impedir que as contas-membro encerrem suas contas.

Impedir que contas-membro com tags sejam fechadas

É possível anexar a seguinte política a uma identidade na sua conta de gerenciamento. Essa política impede que as entidades principais na conta de gerenciamento encerrem qualquer conta-membro que esteja marcada com a chave de condição global da etiqueta aws:ResourceTag, a chave AccountType e o valor de chave Critical.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}

Impedir que as contas-membro listadas nesta política sejam fechadas

É possível anexar a seguinte política a uma identidade na sua conta de gerenciamento. Essa política impede que entidades principais na conta de gerenciamento encerrem contas-membro especificadas no elemento Resource.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Fechar uma conta-membro

Remover uma conta-membro