通过服务控制策略控制账户实例的创建 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过服务控制策略控制账户实例的创建

用户可以创建绑定到单个 Id IAM entity Center 的实例 Amazon Web Services 账户,称为 Ident IAMity Center 的账户实例。您可以使用服务控制策略 (SCP) 控制账户实例的创建。

  1. 打开IAM身份中心控制台

  2. 控制面板中央管理部分,选择阻止账户实例按钮。

  3. 在 “附加SCP以防止创建新账户实例” 对话框中,为您提供了一个SCP。复制SCP并选择 “前往SCP控制面板” 按钮。你会被引导到 Amazon Organizations 控制台来创建SCP或将其作为语句附加到现有的SCP。

    服务控制策略是一项功能 Amazon Organizations。 有关附加的说明SCP,请参阅中的附加和分离服务控制策略 Amazon Organizations 用户指南。

您可以将账户实例的创建限制为特定的,而不是阻止账户实例的创建 Amazon Web Services 账户 在你的组织内:

例 : 控制实例SCP的创建
{
    "Version": "2012-10-17",
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}