使用服务控制策略控制账户实例创建 - Amazon IAM Identity Center
阻止账户实例限制账户实例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用服务控制策略控制账户实例创建

成员账户创建账户实例的权限取决于您启用 IAM Identity Center 的时间:

在任何一种情况下,您都可以使用服务控制策略来:

  • 阻止所有成员账户创建账户实例。

  • 仅允许特定成员账户创建账户实例。

阻止账户实例

使用以下过程生成阻止成员账户创建 IAM Identity Center 账户实例的 SCP。

  1. 打开 IAM Identity Center 控制台

  2. 控制面板中央管理部分,选择阻止账户实例按钮。

  3. 附加 SCP 以阻止创建新账户实例对话框中,会为您提供一个 SCP。复制该 SCP,并选择前往 SCP 控制面板按钮。您将转到 Amazon Organizations 控制台,以创建 SCP,或将其作为声明附加到现有的 SCP。SCP 是 Amazon Organizations 的一项特征。有关附加 SCP 的说明,请参阅 Amazon Organizations 用户指南中的附加和分离服务控制策略

限制账户实例

此策略并非阻止所有账户实例创建,而是拒绝为所有 Amazon Web Services 账户创建 IAM Identity Center 账户实例的任何尝试,除了在 "<ALLOWED-ACCOUNT-ID>" 占位符中明确列出的账户。

例 :用于限制账户实例创建的拒绝策略
JSON
{

    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}

  • 将 ["<ALLOWED-ACCOUNT-ID>"] 替换为您希望允许创建 IAM Identity Center 账户实例的实际 Amazon Web Services 账户 ID。

  • 您可以使用数组格式列出多个允许的账户 ID:["111122223333", "444455556666"]。

  • 将此策略附加到您的组织 SCP,以强制执行对 IAM Identity Center 账户实例创建的集中控制。

    有关附加 SCP 的说明,请参阅 Amazon Organizations 用户指南中的附加和分离服务控制策略