Protegendo as contas dos membros contra o encerramento com AWS Organizations - AWS Organizations
Políticas de exemplo do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Protegendo as contas dos membros contra o encerramento com AWS Organizations

Para proteger as contas dos membros contra o encerramento acidental, crie uma política do IAM que especifique quais contas estão isentas. Essa política impede o encerramento de contas de membros protegidas.

Crie uma política do IAM para negar o encerramento da conta usando um destes métodos:

  • Liste explicitamente as contas protegidas no Resource elemento da política usando suas. ARNs

  • Marque contas individuais e use a chave de condição aws:ResourceTag global para evitar o encerramento de contas marcadas.

As políticas de controle de serviços não podem proteger as contas dos membros

As políticas de controle de serviço (SCPs) não podem proteger as contas dos membros porque SCPs não afetam os diretores do IAM na conta de gerenciamento.

Exemplos de políticas do IAM que impedem fechamentos de contas-membro

Os exemplos de código a seguir mostram dois métodos diferentes que você pode usar para impedir que as contas-membro encerrem suas contas.

Prevent member accounts with tags from getting closed

É possível anexar a seguinte política a uma identidade na sua conta de gerenciamento. Essa política impede que as entidades principais na conta de gerenciamento encerrem qualquer conta-membro que esteja marcada com a chave de condição global da etiqueta aws:ResourceTag, a chave AccountType e o valor de chave Critical.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
Prevent member accounts listed in this policy from getting closed

É possível anexar a seguinte política a uma identidade na sua conta de gerenciamento. Essa política impede que entidades principais na conta de gerenciamento encerrem contas-membro especificadas no elemento Resource. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}