本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用服務控制策略控制帳戶實例的創建
使用者可以建立 IAM 身分中心執行個體繫結至單 AWS 帳戶一 (稱為 IAM 身分中心帳戶執行個體) 的執行個體。您可以使用服務控制策略 (SCP) 控制帳戶執行個體的建立。
-
開啟 IAM 身分中心主控台
。 -
在 [儀表板] 的 [中央管理] 區段中,選擇 [防止帳戶執行個體] 按鈕。
-
在 [附加 SCP 以防止建立新帳戶執行個體] 對話方塊中,會為您提供 SCP。複製 SCP 並選擇移至 SCP 儀表板按鈕。系統會將您導向AWS Organizations 主控台
以建立 SCP,或將其作為陳述式附加至現有的 SCP。 服務控制政策是的一項功能 AWS Organizations。如需有關附加 SCP 的指示,請參閱《AWS Organizations 使用者指南》中的〈附加和解除連結服務控制原則〉。
您可以將帳戶執行個體的建立限制為組織 AWS 帳戶 內的特定項目,而不是防止建立帳戶執行個體:
範例 :控制執行個體建立的 SCP
{ "Version": "2012-10-17", "Statement" : [ { "Sid": "DenyMemberAccountInstances", "Effect": "Deny", "Action": "sso:CreateInstance", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [
"<ALLOWED-ACCOUNT-ID>"
] } } } ] }