本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过服务控制策略控制账户实例的创建
如果您在 2023 年 11 月之前启用了 Ident IAM ity Center,则可以选择成员账户是否可以创建 Ident IAM ity Center 的账户实例,该实例是绑定到单个账户的 Ident IAM ity Center 实例 Amazon Web Services 账户。否则,默认情况下,您组织中的成员账户已经可以选择创建账户实例。允许成员账户创建账户实例是不可逆转的,但您可以使用服务控制策略 (SCP) 来阻止或限制账户实例的创建。
SCPs是 Amazon Organizations。的一个特点。有关附加的说明SCP,请参阅《用户指南》中的附加和分离服务控制策略。Amazon Organizations
防止账户实例
使用以下过程生成一个SCP阻止成员账户创建 Ident IAM ity Center 账户实例的。
-
打开IAM身份中心控制台
。 -
在控制面板的中央管理部分,选择阻止账户实例按钮。
-
在 “附加SCP以防止创建新账户实例” 对话框中,为您提供了一个SCP。复制SCP并选择 “前往SCP控制面板” 按钮。您将被引导到Amazon Organizations 控制台
进行创建,SCP或者将其作为声明附加到现有控制台SCP。
限制账户实例
您可以将账户实例的创建限制为组织 Amazon Web Services 账户 内的特定账户,而不是阻止账户实例的创建:
例 : 控制实例SCP的创建
{ "Version": "2012-10-17", "Statement" : [ { "Sid": "DenyMemberAccountInstances", "Effect": "Deny", "Action": "sso:CreateInstance", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [
"<ALLOWED-ACCOUNT-ID>"
] } } } ] }
有关策略标识符IAM的更多信息,请参阅以下内容: