使用服務控制政策來控制帳戶執行個體的建立 - AWS IAM Identity Center
防止帳戶執行個體限制帳戶執行個體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用服務控制政策來控制帳戶執行個體的建立

成員帳戶建立帳戶執行個體的能力取決於您何時啟用 IAM Identity Center:

在任何一種情況下,您都可以使用服務控制政策 SCPs) 來:

  • 防止所有成員帳戶建立帳戶執行個體。

  • 僅允許特定成員帳戶建立帳戶執行個體。

防止帳戶執行個體

使用下列程序產生 SCP,以防止成員帳戶建立 IAM Identity Center 的帳戶執行個體。

  1. 開啟 IAM Identity Center 主控台

  2. 儀表板中央管理區段中,選擇防止帳戶執行個體按鈕。

  3. 連接 SCP 以防止建立新帳戶執行個體對話方塊中,會為您提供 SCP。複製 SCP 並選擇前往 SCP 儀表板按鈕。系統會將您導向至 AWS Organizations 主控台來建立 SCP,或將其做為陳述式連接至現有的 SCP。SCPs是 的一項功能 AWS Organizations。如需連接 SCP 的指示,請參閱《 使用者指南》中的連接和分離服務控制政策AWS Organizations

限制帳戶執行個體

除了「<ALLOWED-ACCOUNT-ID>」預留位置中明確列出的帳戶執行個體 AWS 帳戶 之外,此政策不會阻止建立所有帳戶執行個體,而是拒絕嘗試為所有帳戶建立 IAM Identity Center 的帳戶執行個體。

範例 :拒絕政策以限制帳戶執行個體建立
{

    "Version": "2012-10-17",
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}

  • 將 【「<ALLOWED-ACCOUNT-ID>」) 取代為您想要允許 建立 IAM Identity Center 帳戶執行個體的實際 AWS 帳戶 ID。

  • 您可以列出陣列格式的多個允許帳戶 IDs:【"111122223333"、"444455556666"】。

  • 將此政策連接至您的組織 SCP,以強制執行對 IAM Identity Center 帳戶執行個體建立的集中控制。

    如需連接 SCP 的說明,請參閱《 使用者指南》中的連接和分離服務控制政策AWS Organizations