使用服務控制策略控制帳戶實例的創建 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用服務控制策略控制帳戶實例的創建

使用者可以建立 IAM 身分中心執行個體繫結至單 AWS 帳戶一 (稱為 IAM 身分中心帳戶執行個體) 的執行個體。您可以使用服務控制策略 (SCP) 控制帳戶執行個體的建立。

  1. 開啟 IAM 身分中心主控台

  2. 在 [儀表板] 的 [中央管理] 區段中,選擇 [防止帳戶執行個體] 按鈕。

  3. 在 [附加 SCP 以防止建立新帳戶執行個體] 對話方塊中,會為您提供 SCP。複製 SCP 並選擇移至 SCP 儀表板按鈕。系統會將您導向AWS Organizations 主控台以建立 SCP,或將其作為陳述式附加至現有的 SCP。

    服務控制政策是的一項功能 AWS Organizations。如需有關附加 SCP 的指示,請參閱AWS Organizations 使用者指南》中的〈附加和解除連結服務控制原則〉。

您可以將帳戶執行個體的建立限制為組織 AWS 帳戶 內的特定項目,而不是防止建立帳戶執行個體:

範例 :控制執行個體建立的 SCP
{
    "Version": "2012-10-17",
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}