Como proteger contas-membro contra encerramento com o AWS Organizations - AWS Organizations
Políticas de exemplo do IAM.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como proteger contas-membro contra encerramento com o AWS Organizations

Para proteger as contas de membros contra o encerramento acidental, crie uma política do IAM que especifique quais contas estão isentas. Essa política impede o encerramento de contas de membros protegidas.

Crie uma política do IAM para impedir o encerramento da conta usando um destes métodos:

  • Liste explicitamente as contas protegidas no elemento Resource da política, usando seus ARNs.

  • Marque contas individuais e use a chave de condição aws:ResourceTag global para impedir o encerramento de contas marcadas.

nota

As Políticas de Controle de Serviços (SCPs) não afetam as entidades principais do IAM na conta gerencial.

Exemplos de políticas do IAM que impedem fechamentos de contas-membro

Os exemplos de código a seguir mostram dois métodos diferentes que você pode usar para impedir que as contas-membro encerrem suas contas.

Prevent member accounts with tags from getting closed

É possível anexar a seguinte política a uma identidade na sua conta gerencial. Essa política impede que as entidades principais na conta gerencial encerrem qualquer conta-membro que esteja marcada com a chave de condição global da etiqueta aws:ResourceTag, a chave AccountType e o valor de chave Critical.

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
Prevent member accounts listed in this policy from getting closed

É possível anexar a seguinte política a uma identidade na sua conta gerencial. Essa política impede que entidades principais na conta gerencial encerrem contas-membro especificadas no elemento Resource. 

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}