Uso de políticas de control de servicio para controlar la creación de instancias de cuenta - AWS IAM Identity Center
Impida las instancias de cuentaLimite las instancias de cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de políticas de control de servicio para controlar la creación de instancias de cuenta

La capacidad de las cuentas de los miembros para crear instancias de cuentas depende de cuándo se haya activado IAM Identity Center:

En cualquier caso, puede usar las políticas de control de servicio (SCPs) para:

  • Impida que todas las cuentas de los miembros creen instancias de cuentas.

  • Permita que solo cuentas de miembros específicas creen instancias de cuentas.

Impida las instancias de cuenta

Utilice el procedimiento siguiente para generar una SCP que impida a las cuentas de los miembros crear instancias de cuenta de IAM Identity Center.

  1. Abra la consola de IAM Identity Center.

  2. En el panel de control, en la sección Administración central, seleccione el botón Impedir instancias de cuentas.

  3. En el cuadro de diálogo Asociar una SCP para impedir la creación de nuevas instancias de cuenta, se le ofrecerá una SCP. Cópiela y pulse el botón Ir al panel de control de SCP. Se le dirigirá a la AWS Organizations consola de para crear la SCP o asociarla como una instrucción a una SCP existente. SCPs son una característica de. AWS Organizations Para obtener instrucciones sobre cómo conectar una SCP, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations .

Limite las instancias de cuentas

En lugar de impedir la creación de todas las instancias de cuentas, esta política deniega cualquier intento de crear una instancia de cuenta del Centro de Identidad de IAM a todas, Cuentas de AWS excepto a las que se indican explícitamente en el "<ALLOWED-ACCOUNT-ID>" marcador de posición.

ejemplo : Política de denegación que limita la creación de instancias de cuentas
{

    "Version": "2012-10-17",
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}

  • Sustituya ["<ALLOWED-ACCOUNT-ID>"] por los Cuenta de AWS ID reales que desee permitir para crear una instancia de cuenta del IAM Identity Center.

  • Puede enumerar varias cuentas permitidas IDs en el formato de matriz: ["111122223333", "444455556666"].

  • Adjunte esta política al SCP de su organización para aplicar un control centralizado sobre la creación de instancias de cuentas de IAM Identity Center.

    Para obtener instrucciones sobre cómo conectar una SCP, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations .