本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用服務控制政策來控制帳戶執行個體的建立
成員帳戶建立帳戶執行個體的能力取決於您何時啟用 IAM Identity Center:
2023 年 11 月之前 – 您必須允許在成員帳戶中建立帳戶執行個體,這是無法反轉的動作。
2023 年 11 月 15 日之後 – 根據預設,成員帳戶可以建立帳戶執行個體。
在任何一種情況下,您都可以使用服務控制政策 SCPs) 來:
防止所有成員帳戶建立帳戶執行個體。
僅允許特定成員帳戶建立帳戶執行個體。
防止帳戶執行個體
使用下列程序產生 SCP,以防止成員帳戶建立 IAM Identity Center 的帳戶執行個體。
-
在儀表板的中央管理區段中,選擇防止帳戶執行個體按鈕。
-
在連接 SCP 以防止建立新帳戶執行個體對話方塊中,會為您提供 SCP。複製 SCP 並選擇前往 SCP 儀表板按鈕。系統會將您導向至 AWS Organizations 主控台
來建立 SCP,或將其做為陳述式連接至現有的 SCP。SCPs是 的一項功能 AWS Organizations。如需連接 SCP 的指示,請參閱《 使用者指南》中的連接和分離服務控制政策。 AWS Organizations
限制帳戶執行個體
除了「<ALLOWED-ACCOUNT-ID>」
預留位置中明確列出的帳戶執行個體 AWS 帳戶 之外,此政策不會阻止建立所有帳戶執行個體,而是拒絕嘗試為所有帳戶建立 IAM Identity Center 的帳戶執行個體。
範例 :拒絕政策以限制帳戶執行個體建立
{ "Version": "2012-10-17", "Statement" : [ { "Sid": "DenyMemberAccountInstances", "Effect": "Deny", "Action": "sso:CreateInstance", "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [
"<ALLOWED-ACCOUNT-ID>"
] } } } ] }
將 【
「<ALLOWED-ACCOUNT-ID>」
) 取代為您想要允許 建立 IAM Identity Center 帳戶執行個體的實際 AWS 帳戶 ID。您可以列出陣列格式的多個允許帳戶 IDs:【
"111122223333"、"444455556666"
】。將此政策連接至您的組織 SCP,以強制執行對 IAM Identity Center 帳戶執行個體建立的集中控制。
如需連接 SCP 的說明,請參閱《 使用者指南》中的連接和分離服務控制政策。 AWS Organizations