本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
保护会员账户不被关闭 Amazon Organizations
如果您想保护成员账户免遭意外关闭,则可以创建一项IAM政策来指定哪些账户可以免于关闭。受这些策略保护的任何成员账户都无法关闭。使用无法完成此操作SCP,因为它们不会影响管理账户中的委托人。
您可以通过以下两种方式创建拒绝关闭账户的IAM政策:
-
通过在
Resource
元素中包含arn
,在策略中明确列出您要保护的每个账户。要查看示例,请参阅 防止本策略中列出的成员账户关闭。 -
标记个人账户以防止其被关闭。在您的策略中使用
aws:ResourceTag
标记全局条件键,以防任何带有该标签的账户被关闭。要了解如何标记账户,请参阅 标记 Organizations 资源。要查看示例,请参阅 防止带标签的成员账户关闭 。
防止关闭成员账户的IAM政策示例
以下代码示例显示了两种不同的方法,您可以使用这些方法来限制成员账户关闭其账户。
防止带标签的成员账户关闭
您可以将以下策略附加到管理账户中的身份。此策略防止管理账户中的主体关闭任何标记为 aws:ResourceTag
标记全局条件键、AccountType
键和 Critical
标签值的成员账户。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccountForTaggedAccts", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": "*", "Condition": { "StringEquals": {"aws:ResourceTag/AccountType": "Critical"} } } ] }
防止本策略中列出的成员账户关闭
您可以将以下策略附加到管理账户中的身份。此策略可防止管理账户中的主体关闭 Resource
元素中明确指定的成员账户。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccount", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": [ "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012", "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014" ] } ] }