保护会员账户不被关闭 Amazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

保护会员账户不被关闭 Amazon Organizations

如果您想保护成员账户免遭意外关闭,则可以创建一项IAM政策来指定哪些账户可以免于关闭。受这些策略保护的任何成员账户都无法关闭。使用无法完成此操作SCP,因为它们不会影响管理账户中的委托人。

您可以通过以下两种方式创建拒绝关闭账户的IAM政策:

防止关闭成员账户的IAM政策示例

以下代码示例显示了两种不同的方法,您可以使用这些方法来限制成员账户关闭其账户。

防止带标签的成员账户关闭

您可以将以下策略附加到管理账户中的身份。此策略防止管理账户中的主体关闭任何标记为 aws:ResourceTag 标记全局条件键、AccountType 键和 Critical 标签值的成员账户。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccountForTaggedAccts", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": "*", "Condition": { "StringEquals": {"aws:ResourceTag/AccountType": "Critical"} } } ] }

防止本策略中列出的成员账户关闭

您可以将以下策略附加到管理账户中的身份。此策略可防止管理账户中的主体关闭 Resource 元素中明确指定的成员账户。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccount", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": [ "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012", "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014" ] } ] }