本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过服务控制策略控制账户实例的创建
用户可以创建绑定到 IAM Identity Center 的单个 Amazon Web Services 账户账户实例的 IAM Identity Center 实例。您可以通过服务控制策略 (SCP) 控制账户实例的创建。
-
在控制面板的中央管理部分,选择阻止账户实例按钮。
-
在附加 SCP 以阻止创建新账户实例对话框中,会为您提供一个 SCP。复制该 SCP,并选择前往 SCP 控制面板按钮。您将转到 Amazon Organizations 控制台
,以创建 SCP,或将其作为声明附加到现有的 SCP。 服务控制策略是的一项功能 Amazon Organizations。有关附加 SCP 的说明,请参阅 Amazon Organizations 用户指南中的附加和分离服务控制策略。
您可以将账户实例的创建限制为组织 Amazon Web Services 账户 内的特定账户,而不是阻止账户实例的创建:
例 :控制实例创建的 SCP
{ "Version": "2012-10-17", "Statement" : [ { "Sid": "DenyMemberAccountInstances", "Effect": "Deny", "Action": "sso:CreateInstance", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [
"<ALLOWED-ACCOUNT-ID>"
] } } } ] }