使用服务控制策略控制账户实例创建 - Amazon IAM Identity Center
阻止账户实例限制账户实例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务控制策略控制账户实例创建

成员账户创建账户实例的权限取决于您启用 IAM Identity Center 的时间:

无论哪种情况,您都可以使用服务控制策略 (SCPs) 来:

  • 阻止所有成员账户创建账户实例。

  • 仅允许特定成员账户创建账户实例。

阻止账户实例

使用以下过程生成阻止成员账户创建 IAM Identity Center 账户实例的 SCP。

  1. 打开 IAM Identity Center 控制台

  2. 控制面板中央管理部分,选择阻止账户实例按钮。

  3. 附加 SCP 以阻止创建新账户实例对话框中,会为您提供一个 SCP。复制该 SCP,并选择前往 SCP 控制面板按钮。您将被引导到Amazon Organizations 控制台创建 SCP 或将其作为语句附加到现有 SCP。 SCPs 是 Amazon Organizations。的一个特点。有关附加 SCP 的说明,请参阅 Amazon Organizations 用户指南中的附加和分离服务控制策略

限制账户实例

该策略不会阻止所有账户实例的创建,而是拒绝任何为 Amazon Web Services 账户 除"<ALLOWED-ACCOUNT-ID>"占位符中明确列出的账户之外的所有账户创建 IAM Identity Center 账户实例的尝试。

例 :用于限制账户实例创建的拒绝策略
JSON
{

    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}

  • 将 ["<ALLOWED-ACCOUNT-ID>"] 替换为您想要允许创建 IAM Identity Center 账户实例的实际 Amazon Web Services 账户 ID。

  • 您可以按数组格式列出多个允许的账户 IDs :["111122223333", "444455556666"]。

  • 将此策略附加到您的组织 SCP,以强制执行对 IAM Identity Center 账户实例创建的集中控制。

    有关附加 SCP 的说明,请参阅 Amazon Organizations 用户指南中的附加和分离服务控制策略