View a markdown version of this page

Protegendo as contas dos membros contra o encerramento com AWS Organizations - AWS Organizations
Políticas de exemplo do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Protegendo as contas dos membros contra o encerramento com AWS Organizations

Para proteger as contas de membros contra o encerramento acidental, crie uma política do IAM que especifique quais contas estão isentas. Essa política impede o encerramento de contas de membros protegidas.

Crie uma política do IAM para impedir o encerramento da conta usando um destes métodos:

  • Liste explicitamente as contas protegidas no elemento Resource da política, usando seus ARNs.

  • Marque contas individuais e use a chave de condição aws:ResourceTag global para impedir o encerramento de contas marcadas.

nota

As Políticas de Controle de Serviços (SCPs) não afetam as entidades principais do IAM na conta gerencial.

Exemplos de políticas do IAM que impedem fechamentos de contas-membro

Os exemplos de código a seguir mostram diferentes métodos que você pode usar para impedir que as contas dos membros fechem suas contas.

Prevent member accounts with tags from getting closed

É possível anexar a seguinte política a uma identidade na sua conta de gerenciamento. Essa política impede que as entidades principais na conta gerencial encerrem qualquer conta-membro que esteja marcada com a chave de condição global da etiqueta aws:ResourceTag, a chave AccountType e o valor de chave Critical.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
Prevent member accounts listed in this policy from getting closed

É possível anexar a seguinte política a uma identidade na sua conta gerencial. Essa política impede que entidades principais na conta gerencial encerrem contas-membro especificadas no elemento Resource. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}
Prevent member accounts from closure with AWS Organizations

É possível anexar a seguinte política a uma identidade na sua conta gerencial. Essa política impede que os diretores da conta de gerenciamento fechem qualquer conta de membro negando as ações account:CloseAccount e organizations:CloseAccount as ações.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "account:CloseAccount",
                "organizations:CloseAccount"
                ],
            "Resource": "*"
        }
    ]
}