Proteger las cuentas de los miembros contra el cierre con AWS Organizations - AWS Organizations
Ejemplos de políticas de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Proteger las cuentas de los miembros contra el cierre con AWS Organizations

Para proteger cuentas de miembros de un cierre accidental, cree una política de IAM que especifique las cuentas que estén exentas de cierre. Esta política impide el cierre de cuentas de miembros protegidas.

Cree una política de IAM para denegar el cierre de cuentas mediante uno de estos métodos:

  • Enumere explícitamente las cuentas protegidas en el Resource elemento de la política utilizando sus ARNs.

  • Etiquete las cuentas individuales y utilice la clave de condición global aws:ResourceTag para evitar el cierre de las cuentas etiquetadas.

nota

Las políticas de control de servicios (SCPs) no afectan a los directores de IAM de la cuenta de administración.

Ejemplos de políticas de IAM que impiden los cierres de las cuentas de miembro

Los siguientes ejemplos de código muestran dos métodos diferentes que puede utilizar para impedir que las cuentas de miembro cierren sus cuentas.

Prevent member accounts with tags from getting closed

Puede adjuntar la siguiente política a una identidad en su cuenta de administración. Esta política impide que las entidades principales de la cuenta de administración cierren cualquier cuenta de miembro etiquetada con la clave de condición global de etiqueta aws:ResourceTag, la clave AccountType y el valor de etiqueta Critical.

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
Prevent member accounts listed in this policy from getting closed

Puede adjuntar la siguiente política a una identidad en su cuenta de administración. Esta política impide que las entidades principales de la cuenta de administración cierren las cuentas de miembro especificadas de forma explícita en el elemento Resource. 

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}