使用 AWS Organizations 阻止成员账户注销
如果您要保护成员账户免遭意外关闭,可以创建一个 IAM policy 来指定哪些账户可免于关闭。受这些策略保护的任何成员账户都无法关闭。这无法使用 SCP 实现,因为它们不会影响管理账户中的主体。
您可以通过以下两种方式之一创建拒绝关闭账户的 IAM policy:
-
通过在
Resource
元素中包含arn
,在策略中明确列出您要保护的每个账户。要查看示例,请参阅 防止本策略中列出的成员账户关闭。 -
标记个人账户以防止其被关闭。在您的策略中使用
aws:ResourceTag
标记全局条件键,以防任何带有该标签的账户被关闭。要了解如何标记账户,请参阅 标记 Organizations 资源。要查看示例,请参阅 防止带标签的成员账户关闭 。
防止成员账户关闭的 IAM policy 示例
以下代码示例展示了两种可用来限制成员账户注销账户的不同功能方法。
防止带标签的成员账户关闭
您可以将以下策略附加到管理账户中的身份。此策略防止管理账户中的主体关闭任何标记为 aws:ResourceTag
标记全局条件键、AccountType
键和 Critical
标签值的成员账户。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccountForTaggedAccts", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": "*", "Condition": { "StringEquals": {"aws:ResourceTag/AccountType": "Critical"} } } ] }
防止本策略中列出的成员账户关闭
您可以将以下策略附加到管理账户中的身份。此策略可防止管理账户中的主体关闭 Resource
元素中明确指定的成员账户。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccount", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": [ "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012", "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014" ] } ] }