によるメンバーアカウントの閉鎖からの保護 AWS Organizations - AWS Organizations
IAM ポリシーの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

によるメンバーアカウントの閉鎖からの保護 AWS Organizations

メンバーアカウントを誤って閉鎖されないように保護するには、除外するアカウントを指定する IAM ポリシーを作成します。このポリシーは、保護されたメンバーアカウントの閉鎖を防止します。

次のいずれかの方法を使用して、アカウント閉鎖を拒否する IAM ポリシーを作成します。

  • ARN を使用して、ポリシーの Resource要素内の保護されたアカウントを明示的に一覧表示します。 ARNs

  • 個々のアカウントにタグを付け、aws:ResourceTagグローバル条件キーを使用して、タグ付けされたアカウントが閉鎖されないようにします。

注記

サービスコントロールポリシー (SCPs) は、管理アカウントの IAM プリンシパルには影響しません。

メンバーアカウントが閉鎖されないようにする IAM ポリシーの例

次のコード例では、メンバーアカウントがアカウントを閉鎖するのを制限するために使用できる方法を 2 つ紹介します。

Prevent member accounts with tags from getting closed

管理アカウントの ID に次のポリシーをアタッチできます。このポリシーにより、管理アカウントのプリンシパルは、aws:ResourceTag タググローバル条件キー、AccountType キー、および Critical タグ値がタグ付けされているメンバーアカウントを閉鎖できなくなります。

{
    "Version": "2012-10-17",&TCX5-2025-waiver;
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
Prevent member accounts listed in this policy from getting closed

管理アカウントの ID に次のポリシーをアタッチできます。このポリシーにより、管理アカウントのプリンシパルは、Resource エレメントで明示的に指定されたメンバーアカウントを閉鎖できなくなります。

{
    "Version": "2012-10-17",&TCX5-2025-waiver;
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}