本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过服务控制策略控制账户实例的创建
用户可以创建绑定到 Ident IAM ity Center 的单个 AWS 账户账户实例的 Ident IAM ity Center 实例。您可以使用服务控制策略 (SCP) 控制账户实例的创建。
-
打开IAM身份中心控制台
。 -
在控制面板的中央管理部分,选择阻止账户实例按钮。
-
在 “附加SCP以防止创建新账户实例” 对话框中,为您提供了一个SCP。复制SCP并选择 “前往SCP控制面板” 按钮。您将被引导到AWS Organizations 控制台
进行创建,SCP或者将其作为声明附加到现有控制台SCP。 服务控制策略是的一项功能 AWS Organizations。有关附加的说明SCP,请参阅《用户指南》中的附加和分离服务控制策略。AWS Organizations
您可以将账户实例的创建限制为组织 AWS 账户 内的特定账户,而不是阻止账户实例的创建:
例 : 控制实例SCP的创建
{ "Version": "2012-10-17", "Statement" : [ { "Sid": "DenyMemberAccountInstances", "Effect": "Deny", "Action": "sso:CreateInstance", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [
"<ALLOWED-ACCOUNT-ID>"
] } } } ] }