View a markdown version of this page

Schutz von Mitgliedskonten vor Schließung mit AWS Organizations - AWS Organizations
IAM-Beispielrichtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schutz von Mitgliedskonten vor Schließung mit AWS Organizations

Um Mitgliedskonten vor einer versehentlichen Schließung zu schützen, erstellen Sie eine IAM-Richtlinie, die festlegt, welche Konten ausgenommen sind. Diese Richtlinie verhindert die Schließung geschützter Mitgliedskonten.

Erstellen Sie mit einer der folgenden Methoden eine IAM-Richtlinie, um die Schließung von Konten zu verweigern:

  • Führen Sie geschützte Konten mithilfe ihrer ARNs explizit im Resource Element der Richtlinie auf.

  • Kennzeichnen Sie einzelne Konten und verwenden Sie den aws:ResourceTag globalen Bedingungsschlüssel, um die Schließung markierter Konten zu verhindern.

Anmerkung

Service Control Policies (SCPs) wirken sich nicht auf die IAM-Prinzipale im Verwaltungskonto aus.

Beispiele für IAM-Richtlinien, die Schließungen von Mitgliedskonten verhindern

Die folgenden Codebeispiele zeigen verschiedene Methoden, mit denen Sie verhindern können, dass Mitgliedskonten ihr Konto schließen.

Prevent member accounts with tags from getting closed

Sie können die folgende Richtlinie an eine Identität in Ihrem Verwaltungskonto anfügen. Diese Richtlinie hindert Prinzipale im Verwaltungskonto daran, Mitgliedskonten zu schließen, die mit dem globalen Bedingungsschlüssel des aws:ResourceTag-Tags, dem AccountType-Schlüssel und dem Critical-Tag-Wert gekennzeichnet sind.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
Prevent member accounts listed in this policy from getting closed

Sie können die folgende Richtlinie an eine Identität in Ihrem Verwaltungskonto anfügen. Diese Richtlinie verhindert, dass Prinzipale im Verwaltungskonto Mitgliederkonten schließen, die explizit im Resource-Element angegeben wurden. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}
Prevent member accounts from closure with AWS Organizations

Sie können die folgende Richtlinie an eine Identität in Ihrem Verwaltungskonto anfügen. Diese Richtlinie verhindert, dass Hauptbenutzer im Verwaltungskonto Mitgliedskonten schließen, indem account:CloseAccount sowohl organizations:CloseAccount die Aktionen als auch verweigert werden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "account:CloseAccount",
                "organizations:CloseAccount"
                ],
            "Resource": "*"
        }
    ]
}