Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Benachrichtigungen für programmatische Kontoschließungen in AWS Organizations einrichten
*Richard Milner-Watts, Debojit Bhadra und Manav Yadav, Amazon Web Services*
## Zusammenfassung
Die [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) für [AWS Organizations](https://aws.amazon.com/organizations/) ermöglicht es Ihnen, Mitgliedskonten innerhalb einer Organisation programmgesteuert zu schließen, ohne sich mit Root-Anmeldeinformationen bei dem Konto anmelden zu müssen. Die [RemoveAccountFromOrganization API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html) ruft ein Konto aus einer Organisation in AWS Organizations ab, sodass es zu einem eigenständigen Konto wird.
Diese erhöhen APIs potenziell die Anzahl der Betreiber, die ein AWS-Konto schließen oder entfernen können. Alle Benutzer, die über AWS Identity and Access Management (IAM) im Verwaltungskonto von AWS Organizations Zugriff auf die Organisation haben, können diese aufrufen APIs, sodass der Zugriff nicht auf den Inhaber der Root-E-Mail-Adresse des Kontos mit einem zugehörigen Multi-Faktor-Authentifizierungsgerät (MFA) beschränkt ist.
Dieses Muster implementiert Warnmeldungen, wenn die `CloseAccount` und aufgerufen `RemoveAccountFromOrganization` APIs werden, sodass Sie diese Aktivitäten überwachen können. Für Benachrichtigungen wird ein [Amazon Simple Notification Service](https://aws.amazon.com/sns/) (Amazon SNS) -Thema verwendet. [Sie können Slack-Benachrichtigungen auch über einen Webhook einrichten.](https://api.slack.com/messaging/webhooks)
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto
+ Eine Organisation in AWS Organizations
+ Zugriff auf das Organisationsverwaltungskonto unter dem Stammkonto der Organisation, um die erforderlichen Ressourcen zu erstellen
**Einschränkungen**
+ Wie in der [API-Referenz für AWS Organizations](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) beschrieben, ermöglicht die `CloseAccount` API nur die Schließung von 10 Prozent der aktiven Mitgliedskonten innerhalb eines fortlaufenden Zeitraums von 30 Tagen.
+ Wenn ein AWS-Konto geschlossen wird, ändert sich sein Status in GESPERRT. 90 Tage nach diesem Statuswechsel kann AWS Support das Konto erneut eröffnen. Nach 90 Tagen wird das Konto dauerhaft gelöscht.
+ Benutzer, die Zugriff auf das Verwaltungskonto von AWS Organizations haben und APIs möglicherweise auch berechtigt sind, diese Benachrichtigungen zu deaktivieren. Wenn das Hauptproblem böswilliges Verhalten und nicht das versehentliche Löschen ist, sollten Sie erwägen, die durch dieses Muster erstellten Ressourcen mit einer [IAM-Rechtegrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) zu schützen.
+ Die API-Aufrufe beziehen `RemoveAccountFromOrganization` sich auf die Region USA Ost (Nord-Virginia) `CloseAccount ` und werden dort verarbeitet (`us-east-1`). Daher müssen Sie diese Lösung einsetzen, `us-east-1` um die Ereignisse beobachten zu können.
## Architektur
**Zieltechnologie-Stack**
+ AWS Organizations
+ AWS CloudTrail
+ Amazon EventBridge
+ AWS Lambda
+ Amazon SNS
**Zielarchitektur**
Das folgende Diagramm zeigt die Lösungsarchitektur für dieses Muster.
![\[Architektur für die Einrichtung von Benachrichtigungen in AWS Organizations für Kontoschließungen\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/ba9d9db1-fab8-4e3b-a1bb-f0be91ade5c6/images/92caee55-2722-4ba2-bdd2-66f1af35dce5.png)
1. AWS Organizations verarbeitet eine `CloseAccount` `RemoveAccountFromOrganization` Oder-Anfrage.
1. Amazon EventBridge ist in AWS integriert CloudTrail , um diese Ereignisse an den Standard-Event-Bus zu übertragen.
1. Eine benutzerdefinierte EventBridge Amazon-Regel entspricht den Anfragen von AWS Organizations und ruft eine AWS-Lambda-Funktion auf.
1. Die Lambda-Funktion übermittelt eine Nachricht zu einem SNS-Thema, die Benutzer abonnieren können, um E-Mail-Benachrichtigungen oder die weitere Verarbeitung zu erhalten.
1. Wenn Slack-Benachrichtigungen aktiviert sind, übermittelt die Lambda-Funktion eine Nachricht an einen Slack-Webhook.
## Tools
**AWS-Services**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) bietet die Möglichkeit, eine Sammlung verwandter AWS- und Drittanbieter-Ressourcen zu modellieren, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus zu verwalten, indem Infrastruktur als Code behandelt wird.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen verbinden können. EventBridge empfängt ein Ereignis, ein Indikator für eine Änderung der Umgebung, und wendet eine Regel an, um das Ereignis an ein Ziel weiterzuleiten. Regeln ordnen Ereignisse Zielen entweder auf der Grundlage der Struktur des Ereignisses, eines so genannten *Ereignismusters*, oder anhand eines Zeitplans zu.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Rechenservice, der die Ausführung von Code unterstützt, ohne Server bereitzustellen oder zu verwalten. Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch, von wenigen Anfragen pro Tag bis hin zu Tausenden pro Sekunde. Sie zahlen nur für die tatsächlich konsumierte Zeit. Es werden keine Gebühren berechnet, solange Ihr Code nicht ausgeführt wird.
+ Mit [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) können Sie Ihre Umgebung zentral verwalten und steuern, während Sie Ihre AWS-Ressourcen erweitern und skalieren. Mit AWS Organizations können Sie programmgesteuert neue AWS-Konten erstellen und Ressourcen zuweisen, Konten gruppieren, um Ihre Workflows zu organisieren, Richtlinien auf Konten oder Gruppen zur Verwaltung anwenden und die Abrechnung vereinfachen, indem Sie eine einzige Zahlungsmethode für alle Ihre Konten verwenden.
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) überwacht und zeichnet Kontoaktivitäten in Ihrer gesamten AWS-Infrastruktur auf und gibt Ihnen die Kontrolle über Speicher-, Analyse- und Behebungsmaßnahmen.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ist ein vollständig verwalteter Messaging-Dienst für die Kommunikation sowohl application-to-application (A2A) als auch application-to-person (A2P).
**Andere Tools**
+ Die [Bibliothek AWS Lambda Powertools for Python](https://docs.powertools.aws.dev/lambda/python/latest/) besteht aus einer Reihe von Dienstprogrammen, die Funktionen zur Ablaufverfolgung, Protokollierung, Metriken und Ereignisbehandlung für Lambda-Funktionen bereitstellen.
**Code**
Der Code für dieses Muster befindet sich im GitHub [AWS Account Closer Notifier-Repository](https://github.com/aws-samples/aws-account-closure-notifier).
Die Lösung umfasst eine CloudFormation Vorlage, die die Architektur für dieses Muster bereitstellt. Es verwendet die [AWS Lambda Powertools for Python-Bibliothek](https://docs.powertools.aws.dev/lambda/python/latest/), um Protokollierung und Tracing bereitzustellen.
## Epen
### Stellen Sie die Architektur bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Starten Sie die CloudFormation Vorlage für den Lösungsstapel. | Die CloudFormation Vorlage für dieses Muster befindet sich im Hauptzweig des [GitHub Repositorys](https://github.com/aws-samples/aws-account-closure-notifier). Es stellt die IAM-Rollen, EventBridge Regeln, Lambda-Funktionen und das SNS-Thema bereit.Um die Vorlage zu starten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html)Weitere Informationen zum Starten eines CloudFormation Stacks finden Sie in der [AWS-Dokumentation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). | AWS-Administrator |
| Stellen Sie sicher, dass die Lösung erfolgreich gestartet wurde. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html) | AWS-Administrator |
| Abonnieren Sie das SNS-Thema. | (Optional) Wenn Sie das SNS-Thema abonnieren möchten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html)Weitere Informationen zum Einrichten von SNS-Benachrichtigungen finden Sie in der [Amazon SNS SNS-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/US_SetupSNS.html). | AWS-Administrator |
### Überprüfen Sie die Lösung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Sendet ein Testereignis an den Standard-Event-Bus. | Das [GitHub Repository](https://github.com/aws-samples/aws-account-closure-notifier) stellt ein Beispielereignis bereit, das Sie zu Testzwecken an den EventBridge Standard-Event-Bus senden können. Die EventBridge Regel reagiert auch auf Ereignisse, die die benutzerdefinierte Ereignisquelle verwenden`account.closure.notifier`.Sie können die CloudTrail Ereignisquelle nicht verwenden, um dieses Ereignis zu senden, da es nicht möglich ist, ein Ereignis als AWS-Service zu senden.Um ein Testereignis zu senden:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html) | AWS-Administrator |
| Stellen Sie sicher, dass die E-Mail-Benachrichtigung empfangen wurde. | Suchen Sie in dem Postfach, das das SNS-Thema abonniert hat, nach Benachrichtigungen. Sie sollten eine E-Mail mit Informationen zu dem Konto, das geschlossen wurde, und zum Principal, der den API-Aufruf durchgeführt hat, erhalten. | AWS-Administrator |
| Vergewissere dich, dass die Slack-Benachrichtigung empfangen wurde. | (Optional) Wenn du bei der Bereitstellung der CloudFormation Vorlage eine Webhook-URL für den `SlackWebhookEndpoint` Parameter angegeben hast, überprüfe den Slack-Kanal, der dem Webhook zugeordnet ist. Es sollte eine Meldung mit Details zu dem Konto, das geschlossen wurde, und zum Principal, der den API-Aufruf durchgeführt hat, angezeigt werden. | AWS-Administrator |
## Zugehörige Ressourcen
+ [CloseAccount Aktion](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) (API-Referenz für AWS Organizations)
+ [RemoveAccountFromOrganization Aktion](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html) (API-Referenz für AWS Organizations)
+ [AWS Lambda Powertools für Python](https://docs.powertools.aws.dev/lambda/python/latest/)