通过服务控制策略控制账户实例的创建 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过服务控制策略控制账户实例的创建

如果您在 2023 年 11 月之前启用了 Ident IAM ity Center,则可以选择成员账户是否可以创建 Ident IAM ity Center 的账户实例,该实例是绑定到单个账户的 Ident IAM ity Center 实例 Amazon Web Services 账户。否则,默认情况下,您组织中的成员账户已经可以选择创建账户实例。允许成员账户创建账户实例是不可逆转的,但您可以使用服务控制策略 (SCP) 来阻止或限制账户实例的创建。

SCPs是 Amazon Organizations。的一个特点。有关附加的说明SCP,请参阅《用户指南》中的附加和分离服务控制策略。Amazon Organizations

防止账户实例

使用以下过程生成一个SCP阻止成员账户创建 Ident IAM ity Center 账户实例的。

  1. 打开IAM身份中心控制台

  2. 控制面板中央管理部分,选择阻止账户实例按钮。

  3. 在 “附加SCP以防止创建新账户实例” 对话框中,为您提供了一个SCP。复制SCP并选择 “前往SCP控制面板” 按钮。您将被引导到Amazon Organizations 控制台进行创建,SCP或者将其作为声明附加到现有控制台SCP。

限制账户实例

您可以将账户实例的创建限制为组织 Amazon Web Services 账户 内的特定账户,而不是阻止账户实例的创建:

例 : 控制实例SCP的创建
{ "Version": "2012-10-17", "Statement" : [ { "Sid": "DenyMemberAccountInstances", "Effect": "Deny", "Action": "sso:CreateInstance", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"] } } } ] }

有关策略标识符IAM的更多信息,请参阅以下内容: