关闭Amazon Web Services 账户
本主题仅适用于 Amazon Web Services 账户
要关闭 Amazon.com 购物账户,请参阅 http://www.amazon.com/gp/help/customer/display.html?nodeId=GDK92DNLSGWTV6MP
如果您的企业中不再需要某个成员账户,并想要确保没有人会使该账户产生费用,您可以遵循本节中的说明从 Amazon Organizations 控制台
接着,除了以根用户身份登录查看从前的账单或联系 Amazon Web Services Support 以外,任何 Amazon 活动都不能再使用此账户。有关更多信息,请参阅就您的账单联系客户支持。
关闭账户的影响
当您关闭 Amazon Web Services 账户 时,在账户关闭之前,您应该考虑一些影响。
-
如果关闭账户,将无法重复使用根用户的电子邮件地址。
-
要关闭组织的管理账户,必须首先移除或关闭组织中的所有成员账户。关闭管理账户时,只要在企业中没有成员账户,就会自动删除企业。
-
在连续 30 天的周期内,您只能关闭 10% 的成员账户。此限额不受日历月的限制,而是在您关闭账户时开始。在首次关闭账户后的 30 天内,您不能超过 10% 的账户关闭限额。最小账户关闭数量为 10 个,最大账户关闭数量为 200 个,即使 10% 的账户在数量上超过 200 个亦是如此。有关 Organizations 限额的更多信息,请参阅 Amazon Organizations 的配额。
-
如果您使用 Amazon Control Tower,则在尝试关闭账户之前,您需要取消管理账户。请参阅《Amazon Control Tower 用户指南》中的取消管理成员账户。
-
如果您有与 Amazon GovCloud (US) 账户关联的 Amazon Web Services 账户,则在关闭 Amazon GovCloud (US) 账户之前,您需要关闭标准账户。要了解重要的关闭前细节,请参阅《Amazon GovCloud (US) 用户指南》中的 关闭 Amazon GovCloud (US) 账户。
我们推荐的但不是确保安全性所必需的最佳实践:
作为最佳实践,我们建议您根据 授予完成工作所需的最低权限的安全最佳实践,删除对来自 IAM 权限或策略的对已关闭账户的引用。这不是安全问题,因为 Amazon 关闭账户后永远不会重用 ID 号。如果您在 IAM policy 中有已关闭账户的 ID,IAM Access Analyzer 将通知您。
从您关闭账户之时起至 90 天到期:
-
已关闭的账户将在您的企业中显示为“SUSPENDED”(已暂停)状态。
-
如果您决定在 90 天内重新开立账户,在账户关闭前未终止的部分活动资源可能会继续产生费用。有关更多信息,请参阅知识中心中的 如何终止在我的 Amazon Web Services 账户 上不再需要的活动资源?
。 -
您将能够登录以查看过去的账单和访问 Amazon Web Services Support。
90 天宽限期到期后:
-
关闭的 Amazon Web Services 账户 在您的企业中不再可见。
关闭Amazon Web Services 账户
登录到企业的管理账户时,您可以关闭属于企业的成员账户。为此,请完成以下步骤。
保护账户免遭关闭
如果您要保护 Amazon Web Services 账户 免遭意外关闭,您可以创建一个 IAM policy 来指定哪些账户可免于关闭。受这些策略保护的任何成员账户都无法关闭。这无法使用 SCP 实现,因为它们不会影响管理账户中的主体。
您可以通过以下两种方式之一创建拒绝关闭账户的 IAM policy:
-
通过在
Resource
元素中包含arn
,在策略中明确列出您要保护的每个账户。要查看示例,请参阅 防止本策略中列出的账户被关闭。 -
标记个人账户以防止其被关闭。在您的策略中使用
aws:ResourceTag
标记全局条件键,以防任何带有该标签的账户被关闭。要了解如何标记账户,请参阅 标记 Organizations 资源。要查看示例,请参阅 防止带标签的账户被关闭 。
防止 Amazon Web Services 账户 关闭的 IAM 策略示例
防止带标签的账户被关闭
您可以将以下策略附加到管理账户中的身份。此策略防止管理账户中的主体关闭任何标记为 aws:ResourceTag
标记全局条件键、AccountType
键和 Critical
标签值的成员账户。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccountForTaggedAccts", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": "*", "Condition": { "StringEquals": {"aws:ResourceTag/AccountType": "Critical"} } } ] }
防止本策略中列出的账户被关闭
您可以将以下策略附加到管理账户中的身份。此策略防止管理账户中的主体关闭在 Resource
元素中明确指定的账户。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventCloseAccount", "Effect": "Deny", "Action": "organizations:CloseAccount", "Resource": [ "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012", "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014" ] } ] }