使用 AWS Organizations 阻止成员账户注销 - AWS Organizations

使用 AWS Organizations 阻止成员账户注销

如果您要保护成员账户免遭意外关闭,可以创建一个 IAM policy 来指定哪些账户可免于关闭。受这些策略保护的任何成员账户都无法关闭。这无法使用 SCP 实现,因为它们不会影响管理账户中的主体。

您可以通过以下两种方式之一创建拒绝关闭账户的 IAM policy:

防止成员账户关闭的 IAM policy 示例

以下代码示例展示了两种可用来限制成员账户注销账户的不同功能方法。

防止带标签的成员账户关闭

您可以将以下策略附加到管理账户中的身份。此策略防止管理账户中的主体关闭任何标记为 aws:ResourceTag 标记全局条件键、AccountType 键和 Critical 标签值的成员账户。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccountForTaggedAccts", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": "*", "Condition": { "StringEquals": {"aws:ResourceTag/AccountType": "Critical"} } } ] }

防止本策略中列出的成员账户关闭

您可以将以下策略附加到管理账户中的身份。此策略可防止管理账户中的主体关闭 Resource 元素中明确指定的成员账户。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccount", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": [ "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012", "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014" ] } ] }