Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Gunakan Kebijakan Kontrol Layanan untuk mengontrol pembuatan instans akun
<a name="control-account-instance"></a>

Kemampuan akun anggota untuk membuat instance akun bergantung pada saat Anda mengaktifkan Pusat Identitas IAM:
+ **Sebelum November 2023** — Anda harus [mengizinkan pembuatan instans akun di akun anggota](enable-account-instance-console.md), yang merupakan tindakan yang tidak dapat dibalik.
+ **Setelah 15 November 2023** — Akun anggota dapat membuat instance akun secara default.

Dalam kedua kasus tersebut, Anda dapat menggunakan Kebijakan Kontrol Layanan (SCPs) untuk:
+ Cegah semua akun anggota membuat instance akun.
+ Izinkan hanya akun anggota tertentu untuk membuat instance akun.

## Mencegah instans akun
<a name="prevent-account-instances"></a>

Gunakan prosedur berikut untuk menghasilkan SCP yang mencegah akun anggota membuat instance akun IAM Identity Center.

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon). 

1. Di **Dasbor**, di bagian **Manajemen pusat**, pilih tombol **Cegah instans akun**.

1. Di kotak dialog **Lampirkan SCP untuk mencegah pembuatan instance akun baru**, SCP disediakan untuk Anda. Salin SCP dan pilih tombol **Go to SCP dashboard**. Anda akan diarahkan ke [AWS Organizations konsol](https://console.aws.amazon.com/organizations/v2) untuk membuat SCP atau melampirkannya sebagai pernyataan ke SCP yang ada. SCPs adalah fitur dari AWS Organizations. *Untuk petunjuk tentang melampirkan SCP, lihat [Melampirkan dan melepaskan kebijakan kontrol layanan](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) di Panduan Pengguna.AWS Organizations *

## Batasi instans akun
<a name="limit-account-instances"></a>

Alih-alih mencegah semua pembuatan instans akun, kebijakan ini menolak upaya apa pun untuk membuat instance akun Pusat Identitas IAM untuk semua Akun AWS kecuali yang secara eksplisit tercantum dalam placeholder. *"<ALLOWED-ACCOUNT-ID>"*

**Example : Tolak kebijakan untuk membatasi pembuatan instance akun**    
****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}
```
+ Ganti [*"<ALLOWED-ACCOUNT-ID>"*] dengan Akun AWS ID aktual yang ingin Anda izinkan untuk membuat instance akun IAM Identity Center.
+ Anda dapat mencantumkan beberapa akun yang diizinkan IDs dalam format array: [*"111122223333", "444455556666"*].
+ Lampirkan kebijakan ini ke SCP organisasi Anda untuk menerapkan kontrol terpusat atas pembuatan instans akun IAM Identity Center. 

  *Untuk petunjuk tentang melampirkan SCP, lihat [Melampirkan dan melepaskan kebijakan kontrol layanan](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) di Panduan Pengguna.AWS Organizations *