Utilice las políticas de control de servicios para controlar la creación de instancias de cuentas - AWS IAM Identity Center
Impida las instancias de cuentasLimite las instancias de cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilice las políticas de control de servicios para controlar la creación de instancias de cuentas

La capacidad de las cuentas de los miembros para crear instancias de cuentas depende de cuándo se haya activado IAM Identity Center:

En cualquier caso, puede utilizar las políticas de control de servicios (SCPs) para:

  • Impida que todas las cuentas de los miembros creen instancias de cuentas.

  • Permita que solo cuentas de miembros específicas creen instancias de cuentas.

Impida las instancias de cuentas

Utilice el siguiente procedimiento para generar un SCP que impida que las cuentas de los miembros creen instancias de cuentas del IAM Identity Center.

  1. Abra la consola de IAM Identity Center.

  2. En el panel de control, en la sección Administración central, seleccione el botón Impedir instancias de cuentas.

  3. En el cuadro de diálogo Asociar una SCP para impedir la creación de nuevas instancias de cuenta, se le ofrecerá una SCP. Cópiela y pulse el botón Ir al panel de control de SCP. Se le indicará que vaya a la AWS Organizations consola para crear el SCP o adjuntarlo como una declaración a un SCP existente. SCPs son una característica de. AWS Organizations Para obtener instrucciones sobre cómo conectar una SCP, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations .

Limite las instancias de cuentas

En lugar de impedir la creación de todas las instancias de cuentas, esta política deniega cualquier intento de crear una instancia de cuenta del Centro de Identidad de IAM a todas, Cuentas de AWS excepto a las que se indican explícitamente en el "<ALLOWED-ACCOUNT-ID>" marcador de posición.

ejemplo : Política de denegación que limita la creación de instancias de cuentas
JSON
{

    "Version": "2012-10-17",
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}

  • Sustituya ["<ALLOWED-ACCOUNT-ID>"] por los Cuenta de AWS ID reales que desee permitir para crear una instancia de cuenta del IAM Identity Center.

  • Puede enumerar varias cuentas permitidas IDs en el formato de matriz: ["111122223333", "444455556666"].

  • Adjunte esta política al SCP de su organización para aplicar un control centralizado sobre la creación de instancias de cuentas de IAM Identity Center.

    Para obtener instrucciones sobre cómo conectar una SCP, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations .