As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configure alertas para encerramentos programáticos de contas no AWS Organizations
<a name="set-up-alerts-for-programmatic-account-closures-in-aws-organizations"></a>

*Richard Milner-Watts, Debojit Bhadra e Manav Yadav, Amazon Web Services*

## Resumo
<a name="set-up-alerts-for-programmatic-account-closures-in-aws-organizations-summary"></a>

A [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) para [AWS Organizations](https://aws.amazon.com/organizations/) permite que você feche contas de membros dentro de uma organização de forma programática, sem precisar fazer login na conta com credenciais raiz. A [RemoveAccountFromOrganization API extrai](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html) uma conta de uma organização no AWS Organizations, então ela se torna uma conta independente.

Isso aumenta APIs potencialmente o número de operadores que podem fechar ou remover uma conta da AWS. Todos os usuários que têm acesso à organização por meio do AWS Identity and Access Management (IAM) na conta de gerenciamento do AWS Organizations podem ligar para eles APIs, portanto, o acesso não se limita ao proprietário do e-mail raiz da conta com qualquer dispositivo de autenticação multifator (MFA) associado.

Esse padrão implementa alertas quando o `CloseAccount` e `RemoveAccountFromOrganization` APIs é chamado, para que você possa monitorar essas atividades. Para alertas, ele usa um tópico do [Amazon Simple Notification Service](https://aws.amazon.com/sns/) (Amazon SNS). Também é possível configurar as notificações do Slack usando um [webhook](https://api.slack.com/messaging/webhooks).

## Pré-requisitos e limitações
<a name="set-up-alerts-for-programmatic-account-closures-in-aws-organizations-prereqs"></a>

**Pré-requisitos **
+ Uma conta AWS ativa
+ Uma organização no AWS Organizations
+ Acesso à conta de gerenciamento da organização, sob a raiz da organização, para criar os recursos necessários

**Limitações**
+ Conforme descrito na [referência da API do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html), a API `CloseAccount` permite que apenas 10% das contas ativas dos membros sejam fechadas em um período contínuo de 30 dias.
+ Quando uma conta da AWS é fechada, seu status é alterado para SUSPENSO. Por 90 dias após essa transição de status, o AWS Support pode reabrir a conta. A conta é excluída permanentemente após 90 dias.
+ Usuários que têm acesso à conta de gerenciamento do AWS Organizations e também APIs podem ter permissões para desativar esses alertas. Se a principal preocupação for comportamento malicioso em vez de exclusão acidental, considere proteger os recursos criados por esse padrão com um [limite de permissões do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).
+ A API chama por `CloseAccount ` e `RemoveAccountFromOrganization` é processado na região Leste dos EUA (Norte da Virgínia) (`us-east-1`). Portanto, você deve implantar essa solução em `us-east-1` para observar os eventos.

## Arquitetura
<a name="set-up-alerts-for-programmatic-account-closures-in-aws-organizations-architecture"></a>

**Pilha de tecnologias de destino**
+ AWS Organizations
+ AWS CloudTrail
+ Amazon EventBridge
+ AWS Lambda
+ Amazon SNS

**Arquitetura de destino**

O diagrama a seguir mostra a arquitetura da solução desse padrão.

 

![\[Arquitetura para configurar alertas no AWS Organizations para encerramentos de contas\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/ba9d9db1-fab8-4e3b-a1bb-f0be91ade5c6/images/92caee55-2722-4ba2-bdd2-66f1af35dce5.png)


1. O AWS Organizations processa uma solicitação `CloseAccount` ou `RemoveAccountFromOrganization`.

1. A Amazon EventBridge está integrada à AWS CloudTrail para entregar esses eventos ao barramento de eventos padrão.

1. Uma EventBridge regra personalizada da Amazon corresponde às solicitações do AWS Organizations e chama uma função do AWS Lambda.

1. A função do Lambda entrega uma mensagem para um tópico do SNS, na qual os usuários podem se inscrever para receber alertas por e-mail ou processamento adicional.

1. Se as notificações do Slack estiverem ativadas, a função do Lambda enviará uma mensagem para um webhook do Slack.

## Ferramentas
<a name="set-up-alerts-for-programmatic-account-closures-in-aws-organizations-tools"></a>

**Serviços da AWS**
+  CloudFormationA [AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) fornece uma forma de modelar uma coleção de recursos relacionados da AWS e de terceiros, provisioná-los de forma rápida e consistente e gerenciá-los ao longo de seus ciclos de vida, tratando a infraestrutura como código.
+  EventBridgeA [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) é um serviço de ônibus de eventos sem servidor que você pode usar para conectar seus aplicativos a dados de várias fontes. EventBridge recebe um evento, um indicador de uma mudança no ambiente, e aplica uma regra para rotear o evento até um alvo. As regras fazem a correspondência entre os eventos e os destinos com base na estrutura do evento, chamada *padrão do evento* ou em um schedule.
+ O [‭‬AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)‭ é um serviço de computação que permite a execução do código sem provisionar ou gerenciar servidores O Lambda executa o código somente quando necessário e dimensiona automaticamente, desde algumas solicitações por dia a milhares por segundo. Você paga apenas pelo tempo de computação consumido. Não haverá cobranças quando seu código não estiver em execução.
+ [O AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) ajuda a gerenciar e governar centralmente seu ambiente à medida que você expande e escala seus recursos da AWS da. Usando o AWS Organizations, você pode criar programaticamente novas contas da AWS e alocar recursos, agrupar contas para organizar seus fluxos de trabalho, aplicar políticas a contas ou grupos para fins de governança e simplificar o faturamento usando um único método de pagamento para todas as suas contas.
+ A [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) monitora e registra a atividade da conta em toda a sua infraestrutura da AWS e oferece controle sobre ações de armazenamento, análise e remediação.
+ [O Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) é um serviço de mensagens totalmente gerenciado para comunicação (A2A) application-to-application e (A2P) application-to-person.

**Outras ferramentas**
+ A [biblioteca AWS Lambda Powertools for Python](https://docs.powertools.aws.dev/lambda/python/latest/) é um conjunto de utilitários que fornece recursos de rastreamento, registro em log, métricas e tratamento de eventos para funções do Lambda.

**Código **

O código desse padrão está localizado no repositório do GitHub [AWS Account Closer Notifier](https://github.com/aws-samples/aws-account-closure-notifier).

A solução inclui um CloudFormation modelo que implanta a arquitetura desse padrão. Ele usa a [biblioteca AWS Lambda Powertools for Python](https://docs.powertools.aws.dev/lambda/python/latest/) para fornecer registro e rastreamento.

## Épicos
<a name="set-up-alerts-for-programmatic-account-closures-in-aws-organizations-epics"></a>

### Implantar a arquitetura
<a name="deploy-the-architecture"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Inicie o CloudFormation modelo para a pilha de soluções. | O CloudFormation modelo para esse padrão está na ramificação principal do [GitHub repositório.](https://github.com/aws-samples/aws-account-closure-notifier) Ele implanta as funções, EventBridge as regras, as funções do Lambda e o tópico do SNS do IAM.Para iniciar o modelo:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html)Para obter mais informações sobre o lançamento de uma CloudFormation pilha, consulte a [documentação da AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). | Administrador da AWS | 
| Verifique se a solução foi iniciada com sucesso. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html) | Administrador da AWS | 
| Inscreva-se no tópico do SNS.  | (Opcional) Se você quiser se inscrever no tópico do SNS:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html)Para obter mais informações sobre como configurar as notificações do SNS, consulte a [documentação do Amazon SNS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/US_SetupSNS.html). | Administrador da AWS | 

### Verifique a solução
<a name="verify-the-solution"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Envie um evento de teste ao barramento de eventos padrão. | O [GitHub repositório](https://github.com/aws-samples/aws-account-closure-notifier) fornece um evento de amostra que você pode enviar para o barramento de eventos EventBridge padrão para teste. A EventBridge regra também reage aos eventos que usam a fonte `account.closure.notifier` de eventos personalizada.Você não pode usar a fonte do CloudTrail evento para enviar esse evento, porque não é possível enviar um evento como um serviço da AWS.Para enviar um evento de teste:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html) | Administrador da AWS | 
| Verifique se a notificação por e-mail foi recebida. | Verifique se há notificações na caixa de correio que se inscreveu no tópico do SNS. Você deve receber um e-mail com detalhes da conta que foi fechada e da entidade principal que realizou a chamada de API. | Administrador da AWS | 
| Verifique se a notificação do Slack foi recebida. | (Opcional) Se você especificou uma URL de webhook para o `SlackWebhookEndpoint` parâmetro ao implantar o CloudFormation modelo, verifique o canal do Slack que está mapeado para o webhook. Ele deve exibir uma mensagem com detalhes da conta que foi fechada e da entidade principal que realizou a chamada de API. | Administrador da AWS | 

## Recursos relacionados
<a name="set-up-alerts-for-programmatic-account-closures-in-aws-organizations-resources"></a>
+ [CloseAccount ação](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) (referência da API do AWS Organizations)
+ [RemoveAccountFromOrganization ação](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html) (referência da API do AWS Organizations)
+ [Powertools do AWS Lambda para Python](https://docs.powertools.aws.dev/lambda/python/latest/)