使用服务控制策略控制账户实例的创建 - AWS IAM Identity Center
防止账户实例限制账户实例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务控制策略控制账户实例的创建

成员账户创建账户实例的能力取决于您启用 IAM Identity Center 的时间:

无论哪种情况,您都可以使用服务控制策略 (SCPs) 来:

  • 防止所有成员账户创建账户实例。

  • 仅允许特定的成员账户创建账户实例。

防止账户实例

使用以下过程生成 SCP,防止成员账户创建 IAM Identity Center 的账户实例。

  1. 打开 IAM Identity Center 控制台

  2. 控制面板中央管理部分,选择阻止账户实例按钮。

  3. 附加 SCP 以阻止创建新账户实例对话框中,会为您提供一个 SCP。复制该 SCP,并选择前往 SCP 控制面板按钮。您将被引导到AWS Organizations 控制台创建 SCP 或将其作为语句附加到现有 SCP。 SCPs 是一项功能 AWS Organizations。有关附加 SCP 的说明,请参阅 AWS Organizations 用户指南中的附加和分离服务控制策略

限制账户实例

该策略不会阻止所有账户实例的创建,而是拒绝任何为"<ALLOWED-ACCOUNT-ID>"占位符中明确列出的账户以 AWS 账户 外的所有账户创建 IAM Identity Center 账户实例的尝试。

例 : 拒绝策略以限制账户实例的创建
JSON
{

    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}

  • 将 ["<ALLOWED-ACCOUNT-ID>"] 替换为您想要允许创建 IAM Identity Center 账户实例的实际 AWS 账户 ID。

  • 您可以按数组格式列出多个允许的账户 IDs :["111122223333", "444455556666"]。

  • 将此政策附加到您的组织 SCP,以对 IAM Identity Center 账户实例的创建实施集中控制。

    有关附加 SCP 的说明,请参阅 AWS Organizations 用户指南中的附加和分离服务控制策略