通过服务控制策略控制账户实例的创建 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过服务控制策略控制账户实例的创建

用户可以创建绑定到 IAM Identity Center 的单个 Amazon Web Services 账户账户实例的 IAM Identity Center 实例。您可以通过服务控制策略 (SCP) 控制账户实例的创建。

  1. 打开 IAM Identity Center 控制台

  2. 控制面板中央管理部分,选择阻止账户实例按钮。

  3. 附加 SCP 以阻止创建新账户实例对话框中,会为您提供一个 SCP。复制该 SCP,并选择前往 SCP 控制面板按钮。您将转到 Amazon Organizations 控制台,以创建 SCP,或将其作为声明附加到现有的 SCP。

    服务控制策略是的一项功能 Amazon Organizations。有关附加 SCP 的说明,请参阅 Amazon Organizations 用户指南中的附加和分离服务控制策略

您可以将账户实例的创建限制为组织 Amazon Web Services 账户 内的特定账户,而不是阻止账户实例的创建:

例 :控制实例创建的 SCP
{
    "Version": "2012-10-17",
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}