Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de las políticas de control de servicios para controlar la creación de instancias de cuentas
<a name="control-account-instance"></a>

La capacidad de las cuentas de los miembros para crear instancias de cuentas depende de cuándo haya activado IAM Identity Center:
+ **Antes de noviembre de 2023**: debe [permitir la creación de instancias de cuentas en las cuentas de los miembros](enable-account-instance-console.md), lo cual es una acción que no se puede revertir.
+ **Después del 15 de noviembre de 2023**: las cuentas de los miembros pueden crear instancias de cuentas de forma predeterminada.

En cualquier caso, puedes usar las políticas de control de servicios (SCPs) para:
+ Impedir que todas las cuentas de los miembros creen instancias de cuentas.
+ Permitir que solo cuentas de miembros específicas creen instancias de cuentas.

## Cómo impedir las instancias de cuenta
<a name="prevent-account-instances"></a>

Utilice el procedimiento siguiente para generar una SCP que impida a las cuentas de los miembros crear instancias de cuenta de IAM Identity Center.

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon) 

1. En el **panel de control**, en la sección **Administración central**, seleccione el botón **Impedir instancias de cuentas**.

1. En el cuadro de diálogo **Asociar una SCP para impedir la creación de nuevas instancias de cuenta**, se le ofrecerá una SCP. Cópiela y pulse el botón **Ir al panel de control de SCP**. Se le indicará que vaya a la [AWS Organizations consola](https://console.aws.amazon.com/organizations/v2) para crear el SCP o adjuntarlo como una declaración a un SCP existente. SCPs son una característica de. AWS Organizations Para obtener instrucciones sobre cómo conectar una SCP, consulte [Asociar y desasociar políticas de control de servicios](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) en la *Guía del usuario de AWS Organizations *.

## Límite a las instancias de cuenta
<a name="limit-account-instances"></a>

En lugar de impedir la creación de todas las instancias de cuentas, esta política deniega cualquier intento de crear una instancia de cuenta de IAM Identity Center a todas, Cuentas de AWS excepto a las que se indican explícitamente en el *"<ALLOWED-ACCOUNT-ID>"* marcador de posición.

**Example : política de denegación que limita la creación de instancias de cuentas**    
****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}
```
+ Sustituya [*"<ALLOWED-ACCOUNT-ID>"*] por los Cuenta de AWS ID reales que desee permitir para crear una instancia de cuenta del IAM Identity Center.
+ Puede enumerar varias cuentas permitidas IDs en el formato de matriz: [*"111122223333", "444455556666"*].
+ Adjunte esta política a la SCP de su organización para aplicar un control centralizado sobre la creación de instancias de cuentas de IAM Identity Center. 

  Para obtener instrucciones sobre cómo conectar una SCP, consulte [Asociar y desasociar políticas de control de servicios](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) en la *Guía del usuario de AWS Organizations *.